Debians sikkerhedsbulletin

DSA-2483-1 strongswan -- omgåelse af autentificering

Rapporteret den:
31. maj 2012
Berørte pakker:
strongswan
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-2388.
Yderligere oplysninger:

Et problem i forbindelse med omgåelse af autentificering blev opdaget af Codenomicon CROSS-projektet i strongSwan, en IPsec-baseret VPN-løsning. Når man anvender RSA-baserede opsætninger, kunne en manglende kontrol i gmp-plugin'en gøre det muligt for en angriber at præsentere en forfalsket signatur, og dermed med succes autentificere mod en strongSwan-responder.

Standardopsætningen i Debian anvender ikke gmp-plugin'en til RSA-handlinger, men derimod OpenSSL-plugin'en, hvorfor pakkerne, som de leveres fra Debian, ikke er sårbare.

I den stabile distribution (squeeze), er dette problem rettet i version 4.4.1-5.2.

For the distributionen testing (wheezy), er dette problem rettet i version 4.5.2-1.4.

I den ustabile distribution (sid), er dette problem rettet i version 4.5.2-1.4.

Vi anbefaler at du opgraderer dine strongswan-pakker.