Scientific Linux セキュリティ更新：SL7.x x86_64 上の libreswan

medium Nessus プラグイン ID 86749

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

Liberswan の IKE デーモンが IKE KE ペイロードを処理する方法に、欠陥が見つかりました。リモートの攻撃者が g^x=0 の KE ペイロードを持つ特別に細工された IKE ペイロードを送信し、このペイロードが処理された場合、サービス拒否（デーモンクラッシュ）を引き起こす可能性があります。(CVE-2015-3240)

注：過去のバージョンの Libreswan からアップグレードを行うと、/etc/ipsec.d/cacerts/ ディレクトリの既存の CA 証明書と /etc/ipsec.d/crls/ ディレクトリからの既存の証明書失効リスト（CRL）ファイルが、NSS データベースに自動的にインポートされます。完了後、これらのディレクトリが Libreswan によって使用されることはありません。新しい CA 証明書または新しい CRLS をインストールするためには、certutil および crlutil コマンドを使用してこれらを Network Security Services（NSS）データベースに直接インポートする必要があります。

この更新により、次の拡張機能も追加されます：

- この更新は、次の内容を追加します、RFC 7383 IKEv2 フラグメント化のサポート、RFC 7619 Auth Null および ID Null、INVALID_KE 再ネゴシエーション、NSS による CRL および OCSP のサポート、IKEv2 のための AES_CTR および AES_GCM のサポート、FIPS コンプライアンスに対する CAVS テスト。

さらに、この更新は FIPS モードの FIPS アルゴリズム制限を強制し、パッケージの構築中に FIPS コンプライアンスに対する Composite Application Validation System（CAVS）テストを実行します。新しい暗号化アルゴリズム検証プログラム（CAVP）バイナリを使用していつでも CAVS テストを再実行することができます。FIPS モードであるかどうかに関わらず、pluto デーモンはさまざまなアルゴリズムに対して RFC テストベクトルを実行します。

さらに現在は、すべてのアーキテクチャにおいてコンパイル時に「-Werror」 GCC オプションが有効となり、すべての警告をエラーに変えることでセキュリティを強化します。

- また、この更新では複数のメモリ漏洩を修正し、サブセカンドパケット再送信オプションを導入します。

- この更新で Openswan から Libreswan への移行サポートを改善します。具体的には、サフィックスなしで時間の値を取るすべての Openswan オプションがサポートされ、/etc/ipsec.conf ファイルで使用できるいくつかの新しいキーワードが導入されました。詳細については、関連する man ページを参照してください。

- この更新により、「loopback=」オプションを介した loopback サポートは廃止されました。