Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

strongSwan

Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10
Debian Linux 7.9 Wheezy
Debian Linux 8.2 Jessie
Debian Linux 9.0 Stretch

Eine Schwachstelle in strongSwan ermöglicht einem entfernten, nicht
authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Canonical stellt für die Distributionen Ubuntu 15.10, Ubuntu 15.04 und
Ubuntu 14.04 LTS Sicherheitsupdates zur Verfügung. Debian stellt für die
Distributionen Wheezy (7.9), Jessie (8.2) und Stretch (9.0) ebenfalls
Sicherheitsupdates bereit.

Patch:

Debian Security Advisory DSA-3398-1

https://www.debian.org/security/2015/dsa-3398

Patch:

Ubuntu Security Notice USN-2811-1

http://www.ubuntu.com/usn/usn-2811-1/

CVE-2015-8023: Schwachstelle in strongSwan ermöglicht Umgehen von
Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in strongSwan, die darin besteht, dass
eap-mschapv2-Plugin den lokalen Status während der Authentifizierung
unzureichend überprüft. Hierdurch ist es möglich, das Plugin auszutricksen
und eine Authentifizierung auch ohne gültige Anmeldedaten erfolgreich
abzuschließen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1772/

Debian Security Advisory DSA-3398-1:
https://www.debian.org/security/2015/dsa-3398

Ubuntu Security Notice USN-2811-1:
http://www.ubuntu.com/usn/usn-2811-1/

Schwachstelle CVE-2015-8023 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8023

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.