Debian DSA-3282-1：strongswan - セキュリティの更新

low Nessus プラグイン ID 84026

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Alexander E. Patrakov 氏は、IPsec 保護リンクを確立するために使用される IKE/IPsec パッケージの strongswan で問題を発見しました。

IKEv2 クライアントが証明書を用いてサーバーを認証し、そしてそのクライアントが、事前共有キーまたは EAP を使用しているサーバーに対して、自身を認証する場合、すべての認証手順が正常に完了した後に、サーバー証明書での制約のみがクライアントにより強制されます。
クライアントから信頼されている CA によって発行された、有効な証明書を使用して認証を行うことができる悪意あるサーバーが、ユーザーを騙して認証を続行させ、（EAP に対する）ユーザー名とパスワードダイジェスト、または（EAP-GTC が許可された場合は）平文パスワードを漏洩させる可能性があります。

ソリューション

strongswan パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（wheezy）では、この問題はバージョン 4.5.2-1.5+deb7u7 で修正されています。

安定版（stable）ディストリビューション（jessie）では、この問題はバージョン 5.2.1-6+deb8u1 で修正されています。