Säkerhetsbulletin från Debian
DSA-2483-1 strongswan -- autentiseringsförbigång
- Rapporterat den:
- 2012-05-31
- Berörda paket:
- strongswan
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2012-2388.
- Ytterligare information:
-
Ett problem med autentiseringsförbigång har upptäckts av Codenomicon CROSS-projektet i strongSwan, en IPsec-baserad VPN-lösning. Vid användning av RSA-baserade lösningar, kan en saknad kontroll i gmp-insticksmodulen tillåta en angripare som presenterar en förfalskad signatur att framgångsrikt autentisera mot en strongSwan-responder.
Standardinställningen i Debian använder inte insticksmodulen gmp för RSA-operationer utan istället OpenSSL-insticksmodulen, så paketen som skeppas av Debian är inte sårbara.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 4.4.1-5.2.
För uttestningsutgåvan (Wheezy) har detta problem rättats i version 4.5.2-1.4.
För den instabila utgåvan (Sid) har detta problem rättats i version 4.5.2-1.4.
Vi rekommenderar att ni uppgraderar era strongswan-paket.