Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2922-1 strongswan

Bulletin d'alerte Debian

DSA-2922-1 strongswan -- Mise à jour de sécurité

Date du rapport :

5 mai 2014

Paquets concernés :

strongswan

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-2891.

Plus de précisions :

Une vulnérabilité a été découverte dans l'analyseur ASN.1 de strongSwan, une suite IKE/IPsec utilisée pour établir des liens IPsec protégés.

En envoyant un identifiant ID_DER_ASN1_DN de charge utile contrefait à un démon pluto ou charon vulnérable, un utilisateur distant malveillant peut provoquer un déréférencement de pointeur NULL dans le démon analysant l'identité et conduire à un plantage et à un déni de service.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 4.4.1-5.6.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 4.5.2-1.5+deb7u4.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 5.1.2-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.1.2-1.

Nous vous recommandons de mettre à jour vos paquets strongswan.