Thông tin về bảo mật / 2015 / Thông tin bảo mật -- DSA-3299-1 stunnel4

Cố vấn bảo mật Debian

DSA-3299-1 stunnel4 -- cập nhật bảo mật

Ngày báo cáo:

02 Th7 2015

Gói chịu tác động:

stunnel4

Có thể bị tấn công:

Có

Tham khảo cơ sở dữ liệu bảo mật:

Trong hệ thống báo lỗi Debian: Lỗi 785352.
Trong từ điển CVE của Miter: CVE-2015-3644.

Thêm thông tin:

Johan Olofsson đã khám phá một lỗi vòng qua xác thực trong Stunnel, một chương trình được thiết kế để làm đường hầm kết nối SSL đa dụng cho các dịch vụ mạng. Khi Stunnel trong chế độ máy dịch vụ được dùng với tùy chọn chuyển hướng và xác thực dựa trên giấy phép được bật với verify = 2 hay cao hơn, sau đó chỉ kết nối khởi tạo là được chuyển hướng đến các máy chủ được chỉ định với redirect. Lỗi này cho phép những kẻ tấn công trên mạng vòng qua bước xác thực.

Với bản phân phối ổn định (jessie), lỗi này đã được sửa trong phiên bản 3:5.06-2+deb8u1.

Với bản phân phối thử nghiệm (stretch), lỗi này được sửa trong phiên bản 3:5.18-1.

Với bản phân phối chưa ổn định (sid), lỗi này đã được sửa trong phiên bản 3:5.18-1.

Chúng tôi khuyên bạn nên nâng cấp các gói stunnel4 của mình.