Информация по безопасности / 2013 / Информация о безопасности -- DSA-2789-1 strongswan

Рекомендация Debian по безопасности

DSA-2789-1 strongswan -- отказ в обслуживании и обход авторизации

Дата сообщения:

01.11.2013

Затронутые пакеты:

strongswan

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-6075.

Более подробная информация:

В утилите грамматического разбора ASN.1 из strongSwan, службы IKE, используемой для создания защищённых IPsec соединений, была обнаружена уязвимость.

Посылая специально сформированную информацию ID_DER_ASN1_DN ID уязвимым службам pluto или charon, удалённый злоумышленник может вызвать отказ в обслуживании (аварийное завершение службы), либо обход авторизации (имитируя другого пользователя, потенциально получая не имеющиеся у него привилегии VPN).

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 4.4.1-5.4.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 4.5.2-1.5+deb7u2.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 5.1.0-3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 5.1.0-3.

Мы рекомендуем вам обновить ваши пакеты strongswan.