S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 juillet 2004
N° CERTA-2004-AVI-245
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans FreeS/Wan, Openswan, StrongSwan et Super FreeS/Wan

Gestion du document

Référence CERTA-2004-AVI-245
Titre Vulnérabilité dans FreeS/Wan, Openswan, StrongSwan et Super FreeS/Wan
Date de la première version15 juillet 2004
Date de la dernière version15 juillet 2004
Source(s) Bulletin de sécurité Openswan
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Déni de service

Systèmes affectés

  • FreeS/Wan versions 1.x avec la mise à jour X.509 antérieures à la version 0.9.41 ;
  • FreeS/Wan versions 2.x avec la mise à jour X.509 antérieures à la version 1.6.1 ;
  • Openswan versions 1.x antérieures à la version 1.0.6 ;
  • Openswan versions 2.x antérieures à la version 2.1.4 ;
  • StrongSwan versions 2.x antérieures à la version 2.1.3 ;
  • Super FreeS/Wan 1.x, toutes les versions avec la mise à jour X.509 ;

Description

Une vulnérabilité présente dans une fonction de vérification des certificats X.509 (verify_x509cert()) permet à un utilisateur mal intentionné, via l'envoi d'un certificat malicieusement construit, de réaliser un déni de service ou de contourner la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 juillet 2004
    version initiale.