发布日期：2004-06-25
更新日期：2004-06-29

受影响系统：

FreeS/WAN FreeS/WAN 1.9.6
FreeS/WAN FreeS/WAN 1.9.5
FreeS/WAN FreeS/WAN 1.9.4
FreeS/WAN FreeS/WAN 1.9.3
FreeS/WAN FreeS/WAN 1.9.2
FreeS/WAN FreeS/WAN 1.9.1
FreeS/WAN FreeS/WAN 1.9

描述：

---

BUGTRAQ  ID: 10611

IPSEC是一款IP安全扩展，提供IP通信验证和加密，Free/SWan是IPSEC在DEBIAN的实现。

FreeS/WAN存在证书验证问题，远程攻击者可以利用这个漏洞伪造证书进行欺骗，访问VPN服务器等。

当FreeS/WAN使用PKCS#7封装的X.509证书的IPSec连接时，FreeS/WAN可被欺骗对伪造证书进行验证。

如果攻击者构建一个CA证书，并且用户使用相同主题的证书，就可以被FreeS/WAN不正确地验证。利用这个漏洞，攻击者可以成功的通过FreeS/WAN VPN服务器验证。

<*来源：Thomas Walpuski （thomas@thinknerd.de）
  
  链接：http://lists.openswan.org/pipermail/dev/2004-June/000370.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* Andreas Steffen <andreas.steffen@strongsec.net>针对openswan-2.x, strongswan-2.x和所有X.509 patches for freeswan-2.x提供如下第三方补丁：

diff -urN strongswan-2.1.1/programs/pluto/x509.c strongswan-2.1.2/programs/pluto/x509.c
--- strongswan-2.1.1/programs/pluto/x509.c Thu Apr 1 20:44:38 2004
+++ strongswan-2.1.2/programs/pluto/x509.c Wed Jun 16 18:22:43 2004
@@ -1852,6 +1852,12 @@
{
*until = cert->notAfter;

+ if (same_dn(cert->issuer, cert->subject))
+ {
+ plog("end certificate with identical subject and issuer not accepted");
+ return FALSE;
+ }
+
for (;;)
{
x509cert_t *issuer_cert;

厂商补丁：

FreeS/WAN
---------
Gentoo linux用户可安装如下命令升级：

# emerge sync
# emerge -pv "=net-misc/freeswan-1.99-r1"
# emerge "=net-misc/freeswan-1.99-r1"


# emerge sync
# emerge -pv ">=net-misc/freeswan-2.04-r1"
# emerge ">=net-misc/freeswan-2.04-r1"


# emerge sync
# emerge -pv "=net-misc/openswan-1.0.6_rc1"
# emerge "=net-misc/openswan-1.0.6_rc1"


# emerge sync
# emerge -pv ">=net-misc/openswan-2.1.4"
# emerge ">=net-misc/openswan-2.1.4"

All strongSwan users should upgrade to the latest stable version:
# emerge sync
# emerge -pv ">=net-misc/strongswan-2.1.3"
# emerge ">=net-misc/strongswan-2.1.3"

# emerge sync
# emerge -pv "=net-misc/openswan-1.0.6_rc1"
# emerge "=net-misc/openswan-1.0.6_rc1"

浏览次数：2835
严重程度：0（网友投票）