Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2789-1 strongswan

Bulletin d'alerte Debian

DSA-2789-1 strongswan -- Déni de service et contournement d'autorisation

Date du rapport :

1^er novembre 2013

Paquets concernés :

strongswan

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-6075.

Plus de précisions :

Une vulnérabilité a été découverte dans l'analyseur ASN.1 de strongSwan, un démon IKE utilisé pour établir des liens IPsec protégés.

En envoyant un identifiant ID_DER_ASN1_DN contrefait à un démon pluto ou charon vulnérable, un utilisateur distant malveillant peut provoquer un déni de service (plantage de démon) ou un contournement d'autorisation (imitation d'un autre utilisateur et acquisition éventuelle de droits VPN).

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 4.4.1-5.4.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 4.5.2-1.5+deb7u2.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 5.1.0-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.1.0-3.

Nous vous recommandons de mettre à jour vos paquets strongswan.