漏洞信息详情
strongSwan OpenSSL插件身份验证绕过漏洞
- CNNVD编号:CNNVD-201305-022
- 危害等级: 中危
- CVE编号: CVE-2013-2944
- 漏洞类型: 授权问题
- 发布时间: 2013-04-30
- 威胁类型: 远程
- 更新时间: 2013-05-17
- 厂 商: strongswan
- 漏洞来源: Tobias Brunner
漏洞简介
strongSwan是瑞士软件开发者Andreas Steffen所维护的一套Linux平台使用的开源的基于IPsec的VPN解决方案。该方案包含X.509公开密钥证书、安全储存私钥、智能卡等认证机制。
strongSwan 4.3.5至5.0.3版本中存在漏洞。当ECDSA签名验证使用OpenSSL插件时,远程攻击者可通过非法的签名利用该漏洞作为其他用户进行身份验证。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.strongswan.org/
参考网址
来源: www.strongswan.org
链接:http://www.strongswan.org/blog/2013/04/30/strongswan-5.0.4-released-(cve-2013-2944).HTML
来源: BID
名称: 59580
链接:http://www.securityfocus.com/bid/59580
来源: DEBIAN
名称: DSA-2665
链接:http://www.debian.org/security/2013/dsa-2665
来源: download.strongswan.org
链接:http://download.strongswan.org/patches/10_openssl_ecdsa_signature_patch/strongswan-4.3.5-5.0.3_openssl_ecdsa_signature.patch
来源:SECUNIA
名称:53224
链接:http://secunia.com/advisories/53224
来源:SECUNIA
名称:53231
链接:http://secunia.com/advisories/53231
受影响实体
- Strongswan Strongswan:4.4.0
- Strongswan Strongswan:4.4.1
- Strongswan Strongswan:5.0.0
- Strongswan Strongswan:5.0.1
- Strongswan Strongswan:5.0.2
补丁
- strongswan-5.0.4
评论