Risque
Déni de service.
Systèmes affectés
KAME Racoon versions antérieures à la version 20040408a.Résumé
Une vulnérabilité du service KAME Racoon permet à un utilisateur mal intentionné de provoquer un déni de service.
Description
KAME est une mise en oeuvre des protocoles IPSec et IPv6 sur les plates-formes BSD.KAME Racoon est le service chargé de négocier les associations de sécurité (SA) pour IPSec (utilisation des protocoles ISAKMP et IKE).
Un mauvais traitement du champ longueur des en-têtes des paquets ISAKMP permet à un utilisateur distant mal intentionné d'utiliser une grande partie de la mémoire du système. Cela peut provoquer l'arrêt brutal du service.
Solution
La version 20040408a corrige cette vulnérabilité.
Appliquer le correctif proposé sur le site de KAME (cf. section Documentation).
Documentation
- Correctif proposé sur le site de KAME :
http://www.kame.net/dev/cvsweb2.cgi/kame/kame/kame/racoon/isakmp.c.diff?r1=1.180&r2=1.181
- Bulletin de sécurité FreeBSD du 14 avril 2004 :
http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA 200404-17 du 24 avril 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200404-17.xml
- Bulletin de sécurité RedHat RHSA-2004:165 du 11 mai 2004 :
http://rhn.redhat.com/errata/RHSA-2004-165.html
- Bulletin de sécurité Mandrake MDKSA-2004:069 du 14 juillet 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:069
- Référence CVE CAN-2004-0403 :
https://www.cve.org/CVERecord?id=CAN-2004-0403