UPDATE: DFN-CERT-2014-0448 strongSwan: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2014-0448 strongSwan: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (16.04.2014):
SUSE hat Sicherheitspatches für die Distributionen SUSE Linux Enterprise
Server 10 SP3 LTSS, 10 SP4 LTSS, 11 SP1 LTSS, 11 SP2 LTSS, 11 SP3, 11 SP3
für VMware und Enterprise Desktop 11 SP3 veröffentlicht.
Version 2 (16.04.2014):
Red Hat hat Sicherheitspatches für die Distributionen Fedora 19, 20 und
Fedora Epel 6 veröffentlicht.
Version 1 (15.04.2014):
Neues Advisory

Betroffene Software:

strongSwan >= 4.0.7
strongSwan <= 5.1.2 Betroffene Plattformen: Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 10 SP3 LTSS SUSE Linux Enterprise Server 10 SP4 LTSS SUSE Linux Enterprise Server 11 SP1 LTSS SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Fedora 19 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 6 Eine Schwachstelle in dem IKEv2 Daemon charon von strongSwan ermöglicht es einem entfernten, nicht authentifizierten Angreifer die Authentifizierung einer IKE-SA zu umgehen. IKEv1 ist nicht betroffen. Patch: Debian Security Advisory DSA-2903 http://www.debian.org/security/2014/dsa-2903

Patch:

Fedora Hersteller-Advisory

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1144/strongswan-5.1.3-1.el6

Patch:

Fedora Update FEDORA-2014-5231

https://admin.fedoraproject.org/updates/FEDORA-2014-5231/strongswan-5.1.3-1.fc20

Patch:

Fedora Update FEDORA-2014-5238

https://admin.fedoraproject.org/updates/FEDORA-2014-5238/strongswan-5.1.3-1.fc19

Patch:

openSUSE Update SUSE-SU-2014:0529-1

http://lists.opensuse.org/opensuse-security-announce/2014-04/msg00010.html

CVE-2014-2338: strongSwan: Umgehung der Authentifizierung durch den IKEv2
Daemon charon

Inkorrekte Zustandsübergänge in der Behandlung von IKE
Sicherheitsbeziehungen können dazu führen, dass die Authentifizierung durch
den IKEv2 Daemon charon umgangen werden kann. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er
während der Aufbauphase einer IKE-SA eine Schlüsselauffrischung einleitet,
wodurch die IKA-SA in den Zustand “established” ohne notwendige und gültige
Credentials übergeht.

Hinweis: IKEv1 ist in strongSwan nicht von dieser Schwachstelle betroffen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0448/

Debian Security Advisory DSA-2903:
http://www.debian.org/security/2014/dsa-2903

Schwachstelle CVE-2014-2338 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2338

Fedora Hersteller-Advisory:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1144/strongswan-5.1.3-1.el6

Fedora Update FEDORA-2014-5231:
https://admin.fedoraproject.org/updates/FEDORA-2014-5231/strongswan-5.1.3-1.fc20

Fedora Update FEDORA-2014-5238:
https://admin.fedoraproject.org/updates/FEDORA-2014-5238/strongswan-5.1.3-1.fc19

openSUSE Update SUSE-SU-2014:0529-1:
http://lists.opensuse.org/opensuse-security-announce/2014-04/msg00010.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben