Update beseitigt DoS-Lücke in StrongSwan-IPSec
Eine einzige Nachricht an den IPSec-Server konnte dessen Ende bedeuten, stellte ein Forscher fest und meldete das Problem den Entwicklern. Die reagierten prompt.
Im Rahmen der Schlüsselaushandlung mit IKEv2 kann ein Angreifer durch spezielle Pakete den IPSec-Dienst StrongSwan lahmlegen, warnen die Entwickler. Betroffen sind alle Versionen seit 4.5.0 bis hin zu 5.2.1. Aktuelle Updates und Patches beseitigen das Problem (CVE-2014-9221).
Auslöser der Abstürze sind IKEv2-Nachrichten im Kontext der Diffie-Hellman Group 1025, die zu einem ungültigen Aufruf eines Konstruktors führen. Letztlich kann so eine einzige IKE_SA_INIT den IKE-Daemon zum Absturz bringen. Das Einschleusen und Ausführen von Code auf diesem Weg schließen die Entwickler jedoch aus und reines IKEv1 ist generell nicht betroffen.
Die soeben veröffentlichte Version StrongSwan 5.2.2 beseitigt das Problem; für die älteren Versionen stellen die Entwickler Patches bereit. Distributoren wie Debian und Ubuntu geben bereits aktualisierte Pakete heraus. Red Hat erklärt, die StrongSwan-Versionen in Red Hat Enterprise Linux 7 seien nicht betroffen, weil sie "IKEv1/IKEv2 nicht unterstützen" – was immer das für die Funktionsfähigkeit von Red Hats IPSec bedeuten mag. (ju)
