Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2483-1 strongswan

Säkerhetsbulletin från Debian

DSA-2483-1 strongswan -- autentiseringsförbigång

Rapporterat den:

2012-05-31

Berörda paket:

strongswan

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-2388.

Ytterligare information:

Ett problem med autentiseringsförbigång har upptäckts av Codenomicon CROSS-projektet i strongSwan, en IPsec-baserad VPN-lösning. Vid användning av RSA-baserade lösningar, kan en saknad kontroll i gmp-insticksmodulen tillåta en angripare som presenterar en förfalskad signatur att framgångsrikt autentisera mot en strongSwan-responder.

Standardinställningen i Debian använder inte insticksmodulen gmp för RSA-operationer utan istället OpenSSL-insticksmodulen, så paketen som skeppas av Debian är inte sårbara.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 4.4.1-5.2.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 4.5.2-1.4.

För den instabila utgåvan (Sid) har detta problem rättats i version 4.5.2-1.4.

Vi rekommenderar att ni uppgraderar era strongswan-paket.