S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 juillet 2004
N° CERTA-2004-AVI-245
Affaire suivie par: CERT-FR
le 15 juillet 2004

Avis du CERT-FR

Objet: Vulnérabilité dans FreeS/Wan, Openswan, StrongSwan et Super FreeS/Wan

Gestion du document

Référence CERTA-2004-AVI-245
Titre Vulnérabilité dans FreeS/Wan, Openswan, StrongSwan et Super FreeS/Wan
Date de la première version 15 juillet 2004
Date de la dernière version 15 juillet 2004
Source(s) Bulletin de sécurité Openswan
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Super FreeS/Wan 1.x, toutes les versions avec la mise à jour X.509 ;
  • Openswan versions 1.x antérieures à la version 1.0.6 ;
  • Openswan versions 2.x antérieures à la version 2.1.4 ;
  • StrongSwan versions 2.x antérieures à la version 2.1.3 ;
  • FreeS/Wan versions 1.x avec la mise à jour X.509 antérieures à la version 0.9.41 ;
  • FreeS/Wan versions 2.x avec la mise à jour X.509 antérieures à la version 1.6.1 ;

Description

Une vulnérabilité présente dans une fonction de vérification des certificats X.509 (verify_x509cert()) permet à un utilisateur mal intentionné, via l'envoi d'un certificat malicieusement construit, de réaliser un déni de service ou de contourner la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 juillet 2004
    version initiale.