Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2922-1 strongswan

Säkerhetsbulletin från Debian

DSA-2922-1 strongswan -- säkerhetsuppdatering

Rapporterat den:

2014-05-05

Berörda paket:

strongswan

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-2891.

Ytterligare information:

En sårbarhet har upptäckts i tolken av ASN.1 i strongSwan, en IKE/IPsec-uppsättning som används för att etablera IPsec-skyddade länkar.

Genom att skicka en skapad ID_DER_ASN1_DN payload till en sårbar pluto- eller charondemon, kan en illasinnad fjärranvändare provocera fram en nullpekardereferens i demonen som tolkar identiteten, vilket leder till en krasch och överbelastning.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 4.4.1-5.6.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 4.5.2-1.5+deb7u4.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 5.1.2-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.1.2-1.

Vi rekommenderar att ni uppgraderar era strongswan-paket.