Objet: Vulnérabilité de la solution IPsec Openswan

Risque

Déni de service distant.

Systèmes affectés

Tout système Linux utilisant Openswan dans une version 2 antérieure à la 2.4.4.

Résumé

Un utilisateur mal intentionné peut envoyer des paquets volontairement mal formés au service IKE pour provoquer son arrêt et empêcher ainsi l'établissement de toute nouvelle connexion.

Description

Openswan est une solution IPsec pour système d'exploitation Linux.

Une faille dans le gestionnaire IKE des associations de sécurité peut être exploitée pour provoquer un déni de service. Par ailleurs, un problème lié à la négociation du chiffrement 3DES est également corrigé.

Solution

Mettre à jour les sources en version 2.4.4 au moins, ou se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Site internet d'Openswan :

  http://www.openswan.org
  

• Avis de sécurité Openswan du 14 novembre 2005 :

  http://www.openswan.org/niscc2/
  

• Mise à jour de sécurité Fedora Core 3 FEDORA-2005-1092 du 21 novembre 2005 :

  http://www.redhat.com/archives/fedora-announce-list/2005-November/msg00057.html
  

• Mise à jour de sécurité Fedora Core 4 FEDORA-2005-1093 du 21 novembre 2005 :

  http://www.redhat.com/archives/fedora-announce-list/2005-November/msg00058.html
  

• Bulletin de sécurité Gentoo GLSA 200512-04 du 12 décembre 2005 :

  http://www.gentoo.org/security/en/glsa/glsa-200512-04.xml
  

• Bulletin de sécurité SUSE SuSE-SA:2005:070 du 20 décembre 2005 :

  http://www.novell.com/linux/security/advisories/2005_70_ipsec.html
  

• Référence CVE CVE-2005-3671 :

  https://www.cve.org/CVERecord?id=CAN-2005-3671
  

• Avis de sécurité de l'UNIRAS 273756/NISCC/ISAKMP du 14 novembre 2005 :

  http://www.uniras.gov.uk/niscc/docs/br-20051114-01013.html
  

• Note de vulnérabilité #226364 de l'US-CERT :

  http://www.kb.cert.org/vuls/id/226364