Bonjour, Une nouvelle annonce de sécurité a été publiée. Merci d'avance pour vos relectures.
Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Contournement d'authentication</define-tag> <define-tag moreinfo> <p>Kevin Wojtysiak a découvert une vulnérabilité dans strongSwan, une solution de réseau privé virtuel (VPN) basée sur IPsec.</p> <p>Quand le module OpenSSL est utilisé pour l'authentification basée sur ECDSA, une signature vide, nulle ou autrement invalide est traitée comme si elle était légitime. Un attaquant pourrait utiliser une signature contrefaite pour s'authentifier comme un utilisateur légitime et avoir accès au VPN et à tout ce qu'il protège.</p> <p>Même si ce problème semble lié à <a href="http://security-tracker.debian.org/tracker/CVE-2012-2388">CVE-2012-2388</a> (un contournement d'authentification basé sur les signatures RSA), ce n'est pas le cas.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.4.1-5.3.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 4.5.2-1.5+deb7u1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.6.4-7.</p> <p>Nous vous recommandons de mettre à jour vos paquets strongswan.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2665.data" # $Id: dsa-2665.wml,v 1.1 2013-04-30 15:11:05 tvincent-guest Exp $
signature.asc
Description: OpenPGP digital signature