Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2922-1 strongswan

Debians sikkerhedsbulletin

DSA-2922-1 strongswan -- sikkerhedsopdatering

Rapporteret den:

5. maj 2014

Berørte pakker:

strongswan

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-2891.

Yderligere oplysninger:

En sårbarhed er fundet i fortolkeren af ASN.1 i strongSwan, en IKE-/IPsec-programsamling, som anvendes til at etablere IPsec-beskyttede links.

Ved at sende en fabrikeret ID_DER_ASN1_DN ID-payload til en sårbar pluto- eller charon-dæmon, kunne en ondsindet fjernbruger fremprovokere en nullpointerdereference i dæmonen, som fortolker identiteten, førende til et nedbrud eller et lammelsesangreb (denial of service).

I den gamle stabile distribution (squeeze), er dette problem rettet i version 4.4.1-5.6.

I den stabile distribution (wheezy), er dette problem rettet i version 4.5.2-1.5+deb7u4.

I distributionen testing (jessie), er dette problem rettet i version 5.1.2-1.

I den ustabile distribution (sid), er dette problem rettet i version 5.1.2-1.

Vi anbefaler at du opgraderer dine strongswan-pakker.