Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2789-1 strongswan

Säkerhetsbulletin från Debian

DSA-2789-1 strongswan -- överbelastning och förbigången auktorisation

Rapporterat den:

2013-11-01

Berörda paket:

strongswan

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-6075.

Ytterligare information:

En sårbarhet har upptäckts i ASN.1-tolken av strongSwan, en IKE-demon som används för att etablera IPsec-skyddade länkar.

Genom att skicka en skapad ID_DER_ASN1_DN ID-last till en sårbar pluto- eller charondemon, kan en illasinnad fjärranvändare provocera fram en överbelastning (demonen kraschar) eller en auktorisationsförbigång (den utger sig för att vara en annan användare vilken potentiellt kan leda till att hon får VPN-rättighter som hon inte skall ha).

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 4.4.1-5.4.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 4.5.2-1.5+deb7u2.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 5.1.0-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.1.0-3.

Vi rekommenderar att ni uppgraderar era strongswan-paket.