Scientific Linux 安全更新：SL7.x x86_64 中的 libreswan

medium Nessus 插件 ID 86749

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

在 Libreswan 的 IKE 后台程序处理 IKE KE 负载的方式中发现一个缺陷。远程攻击者可发送特别构建的，KE 负载为 g^x=0 的 IKE 负载，在处理该负载时导致拒绝服务（后台程序崩溃）。(CVE-2015-3240)

注意：如果从低版本 Libreswan 进行升级，/etc/ipsec.d/cacerts/ 目录中已有的 CA 证书和 /etc/ipsec.d/crls/ 目录中已有的证书吊销列表 (CRL) 文件会自动导入到 NSS 数据库中。完成后，Libreswan 将不再使用这些目录。为了安装新的 CA 证书或 CRL，必须使用 certutil 和 crlutil 命令将其直接导入至网络安全服务 (NSS) 数据库中。

此更新还添加了以下增强：

- 此更新添加了对 RFC 7383 IKEv2 分割、RFC 7619 Auth Null 和 ID Null 的支持； INVALID_KE 重新协商；通过 NSS 对 CRL 和 OCSP 的支持； AES_CTR 和 AES_GCM 对 IKEv2 的支持；以及针对 FIPS 合规性的 CAVS 测试。

此外，此更新会在 FIPS 模式下强制使用 FIPS 算法限制，并且在程序包构建过程中运行复合应用程序验证系统 (CAVS) 测试 FIPS 合规性。可以随时使用新的加密算法验证程序 (CAVP) 二进制来重新运行 CAVS 测试。无论在何种 FIPS 模式下，pluto 后台程序始终将为各类算法运行 RFC 测试矢量。

此外，在所有架构上的编译现在启用“-Werror”GCC 选项，这会将所有警告升级为错误，从而增强安全性。

- 此更新还修复了若干内存泄漏问题，并引入次秒级数据包重传选项。

- 此更新可改进对 Openswan 至 Libreswan 的迁移支持。具体而言，现已支持所有可采用无后缀时间值的 Openswan 选项，并且引入了多个新关键字以供在 /etc/ipsec.conf 文件中使用。有关详细信息，请参阅相关手册页。

- 通过此更新，已弃用经由“loopback=”选项的环回支持。