Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3299-1 stunnel4

Säkerhetsbulletin från Debian

DSA-3299-1 stunnel4 -- säkerhetsuppdatering

Rapporterat den:

2015-07-02

Berörda paket:

stunnel4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 785352.
I Mitres CVE-förteckning: CVE-2015-3644.

Ytterligare information:

Johan Olofsson upptäckte en sårbarhet för autentiseringsförbigång i Stunnel, ett program som är designat för att fungera som en universell SSL-tunnel för nätverksdemoner. När Stunnel används i serverläge med redirect-alternativet och certifikatbaserad autentisering är aktiverat med verify = 2 eller högre, så omdirigeras endast den ursprungliga anslutningen till värdarna som är specificerade med redirect. Detta tillåter en fjärrangripare att förbigå autentisering.

För den stabila utgåvan (Jessie) har detta problem rättats i version 3:5.06-2+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 3:5.18-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 3:5.18-1.

Vi rekommenderar att ni uppgraderar era stunnel4-paket.