Vulnerabilidad en El analizador ASN.1 en strongSwan y openSwan (CVE-2009-2185)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
25/06/2009
Última modificación:
29/07/2019
Descripción
El analizador ASN.1 pluto/asn1.c, libstrongswan/asn1/asn1.c, libstrongswan/asn1/asn1_parser.c) en (a) strongSwan v2.8 anterior a v2.8.10, v4.2 anterior a v4.2.16, y v4.3 anterior a v4.3.2; y (b) openSwan v2.6 anterior a v2.6.22 y v2.4 anterior a v2.4.15 permite a atacantes remotos provocar una denegación de servicio (caída del demonio IKE pluto) a través de un certificado X.509 con (1) Nombres Caracterizados Relativos (RDNs) (2) una cadena UTCTIME manipulada, o (3) una cadena GENERALIZEDTIME manipulada.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:strongswan:strongswan:2.8.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.4:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.5:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.7:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.8:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.9:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:2.8.10:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:4.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:4.2.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:4.2.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:strongswan:strongswan:4.2.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://download.strongswan.org/CHANGES2.txt
- http://download.strongswan.org/CHANGES4.txt
- http://download.strongswan.org/CHANGES42.txt
- http://secunia.com/advisories/35522
- http://secunia.com/advisories/35698
- http://secunia.com/advisories/35740
- http://secunia.com/advisories/35804
- http://secunia.com/advisories/36922
- http://secunia.com/advisories/36950
- http://secunia.com/advisories/37504
- http://up2date.astaro.com/2009/07/up2date_7404_released.html
- http://www.debian.org/security/2009/dsa-1898
- http://www.debian.org/security/2009/dsa-1899
- http://www.ingate.com/Relnote.php?ver=481
- http://www.redhat.com/support/errata/RHSA-2009-1138.html
- http://www.securityfocus.com/bid/35452
- http://www.securitytracker.com/id?1022428=
- http://www.vupen.com/english/advisories/2009/1639
- http://www.vupen.com/english/advisories/2009/1706
- http://www.vupen.com/english/advisories/2009/1829
- http://www.vupen.com/english/advisories/2009/3354
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11079
- https://www.redhat.com/archives/fedora-package-announce/2009-July/msg00264.html
- https://www.redhat.com/archives/fedora-package-announce/2009-July/msg00337.html