DFN-CERT-2013-0878 Schwachstelle in strongSwan [Linux][SuSE]

DFN-CERT-2013-0878 Schwachstelle in strongSwan [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket strongswan

Betroffene Plattformen:

openSUSE 12.2

Eine Schwachstelle in strongSwan erlaubt einem entfernten Angreifer
schlimmstenfalls die Authentifizierung zu umgehen und sich dadurch Zugriff
auf vertrauliche Informationen (im VPN) zu verschaffen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2013-2944: Schwachstelle in strongSwan

In der Funktion verify_der_signature() (in: openssl_ec_public_key.c) wird
der Rückgabewert bei der Überprüfung einer Signatur nicht ausreichend
geprüft. Einem entfernten Angreifer ist es mittels einer leeren oder
ungültigen Signatur dadurch schlimmstenfalls möglich, sich als legitimer
Nutzer zu authentifizieren und Zugang zum VPN, und den darin geschützten
Informationen, zu erhalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0878/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2013-2944:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2944

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben