Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3299-1 stunnel4

Debians sikkerhedsbulletin

DSA-3299-1 stunnel4 -- sikkerhedsopdatering

Rapporteret den:

2. jul 2015

Berørte pakker:

stunnel4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 785352.
I Mitres CVE-ordbog: CVE-2015-3644.

Yderligere oplysninger:

Johan Olofsson opdagede en sårbarhed i forbindelse med omgåelse af autentificering i Stunnel, et program designet til at fungere som en universel SSL-tunnel for netværksdæmoner. Når Stunnel i servertilstand blev anvendt med redirect-valgmuligheden og certifikatbaseret autentifikation er aktiveret med verify = 2 eller højere, blev kun den indlende forbindelse viderestillet til værterne angivet med redirect. Dermed kunne en fjernangriber omgå autentifikationen.

I den stabile distribution (jessie), er dette problem rettet i version 3:5.06-2+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 3:5.18-1.

I den ustabile distribution (sid), er dette problem rettet i version 3:5.18-1.

Vi anbefaler at du opgraderer dine stunnel4-pakker.