Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
strongSwan <= 5.1.0 Debian Linux <= 6.2 Squeeze Debian Linux <= 7.2 Wheezy Debian Linux <= 8.0 Jessie Betroffene Plattformen: Debian Linux Ein Angreifer kann diese Schwachstelle ausnutzen, um den strongSwan-Daemon zum Absturz zu bringen oder einem entfernten, authentifizierten Angreifer sich als ein anderer Benutzer auszugeben und Zugangsbeschränkungen zu umgehen. Patch: Debian Security Advisory DSA-2789 http://www.debian.org/security/2013/dsa-2789
CVE-2013-6075: StrongSwan: Schwachstelle ermöglicht Umgehung von
Sicherheitsmaßnahmen
In strongSwan der Versionen von 4.3.3 bis 5.1.1 kann es in der Funktion
compare_dn() in der Datei ‘utils/identification.c’ zu einer Dereferenzierung
eines Nullzeigers kommen. Zusätzlich wird die Länge eines Feldes bei der
Überprüfung der Identitäten nicht hinreichend validiert. Dies ermöglicht
einem entfernten Angreifer den strongSwan-Daemon zum Absturz zu bringen oder
einem entfernten, authentifizierten Angreifer sich als ein anderer Benutzer
auszugeben und Zugangsbeschränkungen zu umgehen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1877/
Debian Security Advisory DSA-2789:
http://www.debian.org/security/2013/dsa-2789
Schwachstelle CVE-2013-6075 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6075
http://www.strongswan.org/blog/2013/11/01/strongswan-denial-of-service-vulnerability-%28cve-2013-6075%29.html:
http://www.strongswan.org/blog/2013/11/01/strongswan-denial-of-service-vulnerability-%28cve-2013-6075%29.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
