LINUX.ORG.RU
НовостиБезопасность

Уязвимость в реализации IPSec


0

0

GLSA 200406-20:
FreeS/WAN, Openswan, strongSwan и Super-FreeS/WAN могут позволить атакующему пройти авторизацию с фальшивым сертификатом.
Все эти IPsec имплементации имеют ошибки в функции verify_x509cert().

>>> Подробности



Проверено: Demetrio ()
RedHat открыла исходники GFS под GPL
Статья из «Системного администратора» за апрель 2004

А cisco ipsec не подвержён? А то он закрыт, так просто не проинспектировать.

anonymous
()

AFAIK обычный FreeS/WAN вообще x509 не поддерживает.

chucha ★★★☆
()
Ответ на: комментарий от anonymous

Угу. Недаром OpenBSD'шники свой стэк используют со своим isakmpd ;)

anonymous
()
Ответ на: комментарий от anonymous

> OpenBSD рулит :-)))

Срочно в Багтрак, читать об аналогичных дырах в isakmpd и racoon!

anonymous
() 

а вот и фиксы ....

[fmII] Openswan 1.0.6 released (1.x branch)

    http://freshmeat.net/projects/openswan/

The changes in this release are as follows:
Warnings from KLIPS ipsec_* files due to bad "/proc/*ipsec*" comments
were fixed. X.509 0.9.41 was merged, including another security fix.
This fixes CAN-2004-0590; see
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0590 and
http://www.openswan.org/support/vuln/can-2004-0590. X.509 0.9.40 was
merged, and includes a fix for a vulernabilty in the X.509 code. A
fix was made for 64-bit 3DES errors. A fix was made for NAT-T without
port-floating (draft-00/01). snprintf and /proc changes were made.

anonymous
()

Отсюда вывод: PPP over SSH рулит нипадецки =)

GogaN
()

а фсе потому, что не надо изобретать свои поделки-патчи, а юзать ipsec from KAME, как *BSD. Слава туксу, в 2.6 они это поняли и сделали нативный айписек от каме.

tokza
()
Ответ на: комментарий от tokza

C KAME тоже были проблемы и совсем не децкие. Так шта...

anonymous
()
Ответ на: комментарий от tokza

И снова по новой, ни KAME ни isakmpd не могут соперничать с FreeSWAN. Нет, не по количеству дыр, а по правильности реализации RFC, то же сжатие не работает, а создать несколько тунелей можно? а если между двумя серверами тунель(тунели) да в разные IP-подсети на одном конце (тут BSD решения не работают, они эти тунели будут идентифицировать как одинаковые, потому что почти по proposal идентифицируют).

Даже не знаю, может подскажите(?), а KAME или isakmpd умеют RoadWarrior (Nomad client) c динамическим IP, а NAT Traversal и многое другое? Да, это не стандарт, но драфт RFC есть. Это кстати опционально. И вообще в них много чего нет, даже отладки нормальной, но это уже мое личное мнение. Не вспомню уже, но в этих BSD-реализациях IPSec многого не хватает, особенно для использования в крупной компании.

saper ★★★★★
()
Ответ на: комментарий от saper

NAT-T патентован, если вы вдруг не в курсе. Хотя команда OpenBSD таки забила на этот патент и сделала реализацию (в -current). Да, DPD тоже до кучи добавили.

trunk
()
Ответ на: комментарий от MrKooll

Я не нервничаю, я в курсе и слежу за этим, настораживает разделение на Open и Strong, постоянно будет проблема выбора, тем более в старом Super было и то, что есть в Open и то, что есть в Strong.

saper ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
RedHat открыла исходники GFS под GPL
Безопасность
Статья из «Системного администратора» за апрель 2004