Debians sikkerhedsbulletin
DSA-5056-1 strongswan -- sikkerhedsopdatering
- Rapporteret den:
- 24. jan 2022
- Berørte pakker:
- strongswan
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2021-45079.
- Yderligere oplysninger:
-
Zhuowei Zhang opdagede en fejl i EAP-autentifikationsklientkoden i strongSwan, en IKE-/IPsec-programsuite, der kunne gøre det muligt at omgå klienten og under nogle omstændigheder endda serverautentifikationen, eller kunne føre til lammelsesangreb.
Når der anvendes EAP-autentifikation (RFC 3748), indikeres en succesrig gennemførelse af autentifikationen af en EAP-Success-meddelelse sendt af serveren til klienten. strongSwans EAP-klientkode håndteres tidligere EAP-Success-meddelelser på ukorrekt vis, enten ved at få IKE-dæmonen til at gå ned eller afslutte EAP-metoden for tidligt.
Slutresultatet er afhængigt af den anvendte opsætning, flere oplysninger finder man i opstrøms bulletin på https://www.strongswan.org/blog/2022/01/24/strongswan-vulnerability-(cve-2021-45079).html.
I den gamle stabile distribution (buster), er dette problem rettet i version 5.7.2-1+deb10u2.
I den stabile distribution (bullseye), er dette problem rettet i version 5.9.1-1+deb11u2.
Vi anbefaler at du opgraderer dine strongswan-pakker.
For detaljeret sikkerhedsstatus vedrørende strongswan, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/strongswan