Debians sikkerhedsbulletin

DSA-5056-1 strongswan -- sikkerhedsopdatering

Rapporteret den:
24. jan 2022
Berørte pakker:
strongswan
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2021-45079.
Yderligere oplysninger:

Zhuowei Zhang opdagede en fejl i EAP-autentifikationsklientkoden i strongSwan, en IKE-/IPsec-programsuite, der kunne gøre det muligt at omgå klienten og under nogle omstændigheder endda serverautentifikationen, eller kunne føre til lammelsesangreb.

Når der anvendes EAP-autentifikation (RFC 3748), indikeres en succesrig gennemførelse af autentifikationen af en EAP-Success-meddelelse sendt af serveren til klienten. strongSwans EAP-klientkode håndteres tidligere EAP-Success-meddelelser på ukorrekt vis, enten ved at få IKE-dæmonen til at gå ned eller afslutte EAP-metoden for tidligt.

Slutresultatet er afhængigt af den anvendte opsætning, flere oplysninger finder man i opstrøms bulletin på https://www.strongswan.org/blog/2022/01/24/strongswan-vulnerability-(cve-2021-45079).html.

I den gamle stabile distribution (buster), er dette problem rettet i version 5.7.2-1+deb10u2.

I den stabile distribution (bullseye), er dette problem rettet i version 5.9.1-1+deb11u2.

Vi anbefaler at du opgraderer dine strongswan-pakker.

For detaljeret sikkerhedsstatus vedrørende strongswan, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/strongswan