Säkerhetsbulletin från Debian

DSA-2483-1 strongswan -- autentiseringsförbigång

Rapporterat den:
2012-05-31
Berörda paket:
strongswan
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-2388.
Ytterligare information:

Ett problem med autentiseringsförbigång har upptäckts av Codenomicon CROSS-projektet i strongSwan, en IPsec-baserad VPN-lösning. Vid användning av RSA-baserade lösningar, kan en saknad kontroll i gmp-insticksmodulen tillåta en angripare som presenterar en förfalskad signatur att framgångsrikt autentisera mot en strongSwan-responder.

Standardinställningen i Debian använder inte insticksmodulen gmp för RSA-operationer utan istället OpenSSL-insticksmodulen, så paketen som skeppas av Debian är inte sårbara.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 4.4.1-5.2.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 4.5.2-1.4.

För den instabila utgåvan (Sid) har detta problem rättats i version 4.5.2-1.4.

Vi rekommenderar att ni uppgraderar era strongswan-paket.