Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4229-1 strongswan

Aviso de seguridad de Debian

DSA-4229-1 strongswan -- actualización de seguridad

Fecha del informe:

14 de jun de 2018

Paquetes afectados:

strongswan

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2018-5388, CVE-2018-10811.

Información adicional:

Se descubrieron dos vulnerabilidades en strongSwan, una colección de software IKE/IPsec.

• CVE-2018-5388

  La extensión («plugin») stroke no verificaba la longitud del mensaje al leer de su socket de control. Esta vulnerabilidad podría dar lugar a denegación de servicio. En Debian, con la configuración por omisión, el acceso en escritura al socket requiere permisos de root.

• CVE-2018-10811

  La no inicialización de una variable en la derivación de claves IKEv2 podría dar lugar a denegación de servicio (caída del servicio IKE charon) si se usa la extensión («plugin») openssl en modo FIPS y la PRF acordada es HMAC-MD5.

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 5.2.1-6+deb8u6.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 5.5.1-4+deb9u2.

Le recomendamos que actualice los paquetes de strongswan.

Para información detallada sobre el estado de seguridad de strongswan consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/strongswan