• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2893-1 openswan -- обновление безопасности

Главная Специалистам База уязвимостей DSA-2893-1 openswan -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
openswan (any)
Описание
В Openswan, реализации IKE/IPsec для Linux,
были исправлены две уязвимости.

CVE-2013-2053
Во время аудита Libreswan (который имеет общий код с Openswan),
    Флориан Ваймер обнаружил удалённое переполнение буфера в функции
    atodn(). Данная уязвимость может использоваться в случае, если включена возможность Opportunistic
    Encryption (OE), и атакующий контролирует запись PTR
    IP-адреса удалённой подсети.
    Для использования данной уязвимости авторизация не нужна.
CVE-2013-6466
Юстина Мелинте обнаружила уязвимость в Libreswan, которая
    присутствует также и в коде Openswan. С помощью специально сформированных пакетов IKEv2
    атакующий может вызвать разыменование непоступившего содержимого пакета IKEv2
    в службе pluto, что приводит к аварийному завершению работы службы.
    Для использования данной уязвимости авторизация не нужна.

Изначально заплаты были предназначены для исправления данных уязвимостей в Libreswan,
они были адаптированы под кодовую базу Openswan Полом Вутерсом из Libreswan
Project.
Поскольку пакет Openswan более не сопровождается в дистрибутиве Debian
и недоступен в тестируемом и нестабильном выпусках, пользователям
IKE/IPsec рекомендуется перейти на поддерживаемую реализацию,
например, на strongSwan.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 2.6.28+dfsg-5+squeeze2.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 2.6.37-3.1.
Рекомендуется обновить пакеты openswan.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
openswan - 1:2.6.28+dfsg-5+squeeze2
Debian GNU/Linux 7:
noarch:
openswan - 1:2.6.37-3+deb7u1
Ссылки
http://www.debian.org/security/dsa-2893/

Источник: CVE
Наименование: CVE-2013-2053
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2053

Источник: CVE
Наименование: CVE-2013-6466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6466