Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:S/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
strongswan
(any)
Описание
Кевин Войтисак обнаружил уязвимость в strongSwan, решении IPsec
на основе VPN.
При использовании плагина OpenSSL для авторизации на основе ECDSA пустая,
обнулённая или другая некорректная подпись обрабатывается как корректная.
Атакующий может использовать для авторизации специально созданную подпись подобно корректному
пользователю и получить доступ к VPN (и всему, что ей защищено).
Хотя данная проблема похожа на CVE-2012-2388
(обход авторизации на основе подписи RSA), эти две проблемы не связаны.
В стабильном выпуске (squeeze) эта проблема была исправлены в
версии 4.4.1-5.3.
В тестируемом выпуске (wheezy) эта проблема была исправлена в
версии 4.5.2-1.5+deb7u1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 4.6.4-7.
Рекомендуется обновить пакеты strongswan.
на основе VPN.
При использовании плагина OpenSSL для авторизации на основе ECDSA пустая,
обнулённая или другая некорректная подпись обрабатывается как корректная.
Атакующий может использовать для авторизации специально созданную подпись подобно корректному
пользователю и получить доступ к VPN (и всему, что ей защищено).
Хотя данная проблема похожа на CVE-2012-2388
(обход авторизации на основе подписи RSA), эти две проблемы не связаны.
В стабильном выпуске (squeeze) эта проблема была исправлены в
версии 4.4.1-5.3.
В тестируемом выпуске (wheezy) эта проблема была исправлена в
версии 4.5.2-1.5+deb7u1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 4.6.4-7.
Рекомендуется обновить пакеты strongswan.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
strongswan - 4.4.1-5.3
Debian GNU/Linux 7:
noarch:
strongswan - 4.5.2-1.5+deb7u1
Debian GNU/Linux 6:
noarch:
strongswan - 4.4.1-5.3
Debian GNU/Linux 7:
noarch:
strongswan - 4.5.2-1.5+deb7u1
Ссылки
http://www.debian.org/security/dsa-2665/
Источник: CVE
Наименование: CVE-2013-2944
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2944
Источник: CVE
Наименование: CVE-2013-2944
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2944