blob: 1ab58ed3e6d6c7cf4d3d0a2388ab957f2d2d3287 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>認証の迂回</define-tag>
<define-tag moreinfo>
<p>Kevin Wojtysiak さんが IPsec ベースの VPN ソフトウェア
strongSwan に脆弱性を発見しました。</p>
<p>ECDSA ベースの認証用の OpenSSL プラグインを使用している場合、空白で無意味、
あるいは不正な署名が正当なものとして処理されます。
攻撃者は偽造した署名を使って正当なユーザであるかのように認証し、VPN
(およびそれにより保護されているすべて) へのアクセスを獲得することが可能です。</p>
<p>この問題は <a
href="https://security-tracker.debian.org/tracker/CVE-2012-2388">CVE-2012-2388</a>
(RSA 署名ベースの認証の迂回) に似ていますが、関係はありません。</p>
<p>安定版 (stable) ディストリビューション (squeeze)
では、この問題はバージョン 4.4.1-5.3 で修正されています。</p>
<p>テスト版 (testing) ディストリビューション (wheezy)
では、この問題はバージョン 4.5.2-1.5+deb7u1 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 4.6.4-7 で修正されています。</p>
<p>直ちに strongswan パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2665.data"
|
