检测

RHEL 7:libreswan (RHSA-2015:1979)

medium Nessus 插件 ID 86744

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 libreswan 程序包修复了一个安全问题和多个缺陷并添加了多项增强,现在可用于 Red Hat Enterprise Linux 7。

Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Libreswan 是 IPsec for Linux 和 IKE for Linux 的实现。IPsec 是 Internet 协议安全,使用强加密提供认证和加密服务。这些服务允许您通过不受信任的网络(例如,虚拟专用网络 (VPN))构建安全隧道。

在 Libreswan 的 IKE 后台程序处理 IKE KE 负载的方式中发现一个缺陷。远程攻击者可发送特别构建的,KE 负载为 g^x=0 的 IKE 负载,在处理该负载时导致拒绝服务(后台程序崩溃)。(CVE-2015-3240)

此问题由 Red Hat 的 Paul Wouters 发现。

注意:如果从低版本 Libreswan 进行升级,/etc/ipsec.d/cacerts/ 目录中已有的 CA 证书和 /etc/ipsec.d/crls/ 目录中已有的证书吊销列表 (CRL) 文件会自动导入到 NSS 数据库中。完成后,Libreswan 将不再使用这些目录。为了安装新的 CA 证书或 CRL,必须使用 certutil 和 crlutil 命令将其直接导入至网络安全服务 (NSS) 数据库中。

此更新还添加了以下增强:

* 此更新添加了对 RFC 7383 IKEv2 分割、RFC 7619 Auth Null 和 ID Null 的支持; INVALID_KE 重新协商;通过 NSS 对 CRL 和 OCSP 的支持; AES_CTR 和 AES_GCM 对 IKEv2 的支持;以及针对 FIPS 合规性的 CAVS 测试。

此外,此更新会在 FIPS 模式下强制使用 FIPS 算法限制,并且在程序包构建过程中运行复合应用程序验证系统 (CAVS) 测试 FIPS 合规性。可以随时使用新的加密算法验证程序 (CAVP) 二进制来重新运行 CAVS 测试。无论在何种 FIPS 模式下,pluto 后台程序始终将为各类算法运行 RFC 测试矢量。

此外,在所有架构上的编译现在启用“-Werror”GCC 选项,这会将所有警告升级为错误,从而增强安全性。(BZ#1263346)

* 此更新还修复了若干内存泄漏问题,并引入次秒级数据包重传选项。(BZ#1268773)

* 此更新可改进对 Openswan 至 Libreswan 的迁移支持。
具体而言,现已支持所有可采用无后缀时间值的 Openswan 选项,并且引入了多个新关键字以供在 /etc/ipsec.conf 文件中使用。有关详细信息,请参阅相关手册页。(BZ#1268775)

* 通过此更新,已弃用经由“loopback=”选项的环回支持。(BZ#1270673)

建议所有 Libreswan 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序,并添加了这些增强。

解决方案

更新受影响的 libreswan 和/或 libreswan-debuginfo 程序包。

另见

https://access.redhat.com/errata/RHSA-2015:1979

https://access.redhat.com/security/cve/cve-2015-3240

插件详情

严重性: Medium

ID: 86744

文件名: redhat-RHSA-2015-1979.nasl

版本: 2.13

类型: local

代理: unix

发布时间: 2015/11/5

最近更新时间: 2019/10/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:libreswan, p-cpe:/a:redhat:enterprise_linux:libreswan-debuginfo, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.1, cpe:/o:redhat:enterprise_linux:7.2, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2015/11/3

漏洞发布日期: 2015/11/9

参考资料信息

CVE: CVE-2015-3240

RHSA: 2015:1979