S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 janvier 2004
N° CERTA-2004-AVI-010
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de isakmpd

Gestion du document

Référence CERTA-2004-AVI-010
Titre Vulnérabilité de isakmpd
Date de la première version15 janvier 2004
Date de la dernière version20 février 2004
Source(s) Avis de sécurité OpenBSD 009_isakmpd du 13 janvier 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Manipulation de données

Systèmes affectés

  • NetBSD 1.6, NetBSD 1.6.1, NetBSD-current (si les sources sont antérieures au 17 janvier 2004).
  • Toutes les versions d'OpenBSD ;

Résumé

Plusieurs vulnérabilités dans la gestion des messages par isakmpd permettent à un utilisateur mal intentionné d'effacer des associations de sécurité (SA ou Security Associations) et de réaliser un déni de service dans la cadre d'un trafic réseau chiffré et/ou authentifié.

Description

isakmpd est un service de gestion des clefs IKE. isakmpd gère notamment les associations de sécurité (SA ou Security Associations) pour du trafic réseau chiffré et/ou authentifié. Plusieurs vulnérabilités dans la gestion des messages par isakmpd permettent à un utilisateur mal intentionné d'effacer des associations de sécurité (SA ou Security Associations) et de réaliser un déni de service dans la cadre d'un trafic réseau chiffré et/ou authentifié.

Solution

  • Pour OpenBSD version 3.4, mettre à jour OpenBSD en appliquant le correctif disponible à cette adresse :

    ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/009_isakmpd.patch

  • Pour NetBSD, mettre à jour selon la version de NetBSD (cf. avis de sécurité NetBSD dans la section Documentation).

Documentation

Gestion détaillée du document

    le 15 janvier 2004
    version initiale.
    le 20 février 2004
    ajout du bulletin de sécurité NetBSD.