Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5056-1 strongswan

Bulletin d'alerte Debian

DSA-5056-1 strongswan -- Mise à jour de sécurité

Date du rapport :

24 janvier 2022

Paquets concernés :

strongswan

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-45079.

Plus de précisions :

Zhuowei Zhang a découvert un bogue dans le code d'authentification EAP de strongSwan, une suite IKE/IPsec, qui pouvait permettre le contournement de l'authentification du client et même du serveur dans certains scénarios, ou pouvait conduire à une attaque par déni de service.

Lors de l'utilisation de l'authentification EAP (RFC 3748), la réussite de l'authentification est indiquée par un message EAP-Success envoyé par le serveur au client. Le code du client EAP de strongSwan traitait incorrectement des messages EAP-Success précoces, soit en plantant le démon IKE, soit en concluant prématurément la méthode EAP.

Le résultat final dépend de la configuration utilisée. Plus de précisions sont disponibles dans l'annonce amont à l'adresse https://www.strongswan.org/blog/2022/01/24/strongswan-vulnerability-(cve-2021-45079).html.

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 5.7.2-1+deb10u2.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 5.9.1-1+deb11u2.

Nous vous recommandons de mettre à jour vos paquets strongswan.

Pour disposer d'un état détaillé sur la sécurité de strongswan, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/strongswan.