UPDATE: DFN-CERT-2013-1877 StrongSwan: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][SuSE][Unix]

UPDATE: DFN-CERT-2013-1877 StrongSwan: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][SuSE][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.11.2013):
OpenSUSE hat diese Schwachstelle ebenfalls geschlossen
Version 1 (04.11.2013):
Neues Advisory

Betroffene Software:

strongSwan <= 5.1.1 Debian Linux <= 6.2 Squeeze Debian Linux <= 7.2 Wheezy Debian Linux <= 8.0 Jessie openSUSE <= 11.4 openSUSE <= 12.3 Betroffene Plattformen: Debian Linux SuSE UNIX Ein Angreifer kann diese Schwachstelle ausnutzen, um den strongSwan-Daemon zum Absturz zu bringen oder einem entfernten, authentifizierten Angreifer sich als ein anderer Benutzer auszugeben und Zugangsbeschränkungen zu umgehen. Patch: Debian Security Advisory DSA-2789 http://www.debian.org/security/2013/dsa-2789

Patch:

openSUSE Security Update openSUSE-SU-2013:1646-1

http://lists.opensuse.org/opensuse-updates/2013-11/msg00013.html

Patch:

openSUSE Security Update openSUSE-SU-2013:1651-1

http://lists.opensuse.org/opensuse-updates/2013-11/msg00018.html

CVE-2013-6075: StrongSwan: Schwachstelle ermöglicht einen
Denial-of-Service-Angriff

In strongSwan der Versionen von 4.3.3 bis 5.1.1 kann es in der Funktion
compare_dn() in der Datei ‘utils/identification.c’ zu einer Dereferenzierung
eines Nullzeigers kommen. Zusätzlich wird die Länge eines Feldes bei der
Überprüfung der Identitäten nicht hinreichend validiert. Dies ermöglicht
einem entfernten Angreifer den strongSwan-Daemon zum Absturz zu bringen oder
einem entfernten, authentifizierten Angreifer sich als ein anderer Benutzer
auszugeben und Zugangsbeschränkungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1877/

Debian Security Advisory DSA-2789:
http://www.debian.org/security/2013/dsa-2789

Schwachstelle CVE-2013-6075 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6075

http://www.strongswan.org/blog/2013/11/01/strongswan-denial-of-service-vulnerability-%28cve-2013-6075%29.html:
http://www.strongswan.org/blog/2013/11/01/strongswan-denial-of-service-vulnerability-%28cve-2013-6075%29.html

openSUSE Security Update openSUSE-SU-2013:1646-1:
http://lists.opensuse.org/opensuse-updates/2013-11/msg00013.html

openSUSE Security Update openSUSE-SU-2013:1651-1:
http://lists.opensuse.org/opensuse-updates/2013-11/msg00018.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben