[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2013/dsa-2665.wml



Rebonjour,

On 30/04/2013 17:37, jean-pierregiraud wrote:
> Quelques suggestions

Merci Jean-Pierre, c'est intégré.

Amicalement,
Thomas

#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
<define-tag description>Contournement d'authentication</define-tag>
<define-tag moreinfo>
<p>Kevin Wojtysiak a découvert une vulnérabilité dans strongSwan, une solution
de réseau privé virtuel (VPN) basée sur IPsec.</p>

<p>Quand le module OpenSSL est utilisé pour une authentification basée sur ECDSA, 
une signature vide, nulle ou autrement invalide est traitée comme si elle était
légitime. Un attaquant pourrait utiliser une signature contrefaite pour
s'authentifier comme un utilisateur légitime et avoir accès au VPN et à tout ce
qu'il protège.</p>

<p>Même si ce problème ressemble à <a
href="http://security-tracker.debian.org/tracker/CVE-2012-2388";>CVE-2012-2388</a>
(un contournement d'authentification basé sur les signatures RSA), il n'y a pas
de rapport.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.4.1-5.3.</p>

<p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 4.5.2-1.5+deb7u1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.6.4-7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets strongswan.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2665.data"
# $Id: dsa-2665.wml,v 1.2 2013-04-30 15:49:44 tvincent-guest Exp $

Attachment: signature.asc
Description: OpenPGP digital signature


Reply to: