Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
openswan
(any)
openswan-doc
(any)
Описание
Openswan - это бесплатно распространяемое ПО, которое реализует Internet Protocol Security (IPsec) и Internet Key Exchange (IKE). IPsec использует стойкую криптографию для служб аутентификации и шифрования. Эти службы позволяют создавать защищенные туннели в недоверенных сетях.
Уязвимость, связанная с переполнением буфера, обнаружена в Openswan при обработке кода на клиентской стороне XAUTH, что используется при подключении к некоторым шлюзам Cisco. Скомпрометированный или специально созданный VPN-шлюз позволяет использовать данную уязвимость, чтобы выполнить произвольный код на подключенном клиенте Openswan. (CVE-2010-3302, CVE-2010-3308)
Уязвимость, связанная с проверкой входных данных, обнаружена при обработке баннеров шлюзов Cisco на стороне клиента в Openswan. Скомпрометированный или специально созданный VPN-шлюз позволяет использовать данную уязвимость, чтобы выполнить произвольный код на подключенном клиенте Openswan. (CVE-2010-3752, CVE-2010-3753)
Всем пользователям openswan рекомендуется программное обеспечение, чтобы избавиться от указанных проблем. После установки обновления служба ipsec будет перезапущена автоматически.
Уязвимость, связанная с переполнением буфера, обнаружена в Openswan при обработке кода на клиентской стороне XAUTH, что используется при подключении к некоторым шлюзам Cisco. Скомпрометированный или специально созданный VPN-шлюз позволяет использовать данную уязвимость, чтобы выполнить произвольный код на подключенном клиенте Openswan. (CVE-2010-3302, CVE-2010-3308)
Уязвимость, связанная с проверкой входных данных, обнаружена при обработке баннеров шлюзов Cisco на стороне клиента в Openswan. Скомпрометированный или специально созданный VPN-шлюз позволяет использовать данную уязвимость, чтобы выполнить произвольный код на подключенном клиенте Openswan. (CVE-2010-3752, CVE-2010-3753)
Всем пользователям openswan рекомендуется программное обеспечение, чтобы избавиться от указанных проблем. После установки обновления служба ipsec будет перезапущена автоматически.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0892.html
https://rhn.redhat.com/errata/RHSA-2010-0892.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0892.html
CVE (CVE-2010-3302): https://www.redhat.com/security/data/cve/CVE-2010-3302.html
CVE (CVE-2010-3308): https://www.redhat.com/security/data/cve/CVE-2010-3308.html
CVE (CVE-2010-3752): https://www.redhat.com/security/data/cve/CVE-2010-3752.html
CVE (CVE-2010-3753): https://www.redhat.com/security/data/cve/CVE-2010-3753.html
BUGZILLA (634264): http://bugzilla.redhat.com/634264
BUGZILLA (637924): http://bugzilla.redhat.com/637924
BUGZILLA (640711): http://bugzilla.redhat.com/640711
BUGZILLA (640715): http://bugzilla.redhat.com/640715
Источник: CVE
Наименование: CVE-2010-3302
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3302
Источник: CVE
Наименование: CVE-2010-3308
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3308
Источник: CVE
Наименование: CVE-2010-3752
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3752
Источник: CVE
Наименование: CVE-2010-3753
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3753
CVE (CVE-2010-3302): https://www.redhat.com/security/data/cve/CVE-2010-3302.html
CVE (CVE-2010-3308): https://www.redhat.com/security/data/cve/CVE-2010-3308.html
CVE (CVE-2010-3752): https://www.redhat.com/security/data/cve/CVE-2010-3752.html
CVE (CVE-2010-3753): https://www.redhat.com/security/data/cve/CVE-2010-3753.html
BUGZILLA (634264): http://bugzilla.redhat.com/634264
BUGZILLA (637924): http://bugzilla.redhat.com/637924
BUGZILLA (640711): http://bugzilla.redhat.com/640711
BUGZILLA (640715): http://bugzilla.redhat.com/640715
Источник: CVE
Наименование: CVE-2010-3302
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3302
Источник: CVE
Наименование: CVE-2010-3308
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3308
Источник: CVE
Наименование: CVE-2010-3752
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3752
Источник: CVE
Наименование: CVE-2010-3753
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3753