Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4312-1 tinc

Aviso de seguridad de Debian

DSA-4312-1 tinc -- actualización de seguridad

Fecha del informe:

8 de oct de 2018

Paquetes afectados:

tinc

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2018-16738, CVE-2018-16758.

Información adicional:

Se descubrieron varias vulnerabilidades en tinc, un daemon de red privada virtual (VPN, por sus siglas en inglés). El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:

• CVE-2018-16738

  Michael Yonli descubrió un defecto en la implementación del protocolo de autenticación que podría permitir que un atacante remoto estableciera una conexión autenticada de sentido único con otro nodo.

• CVE-2018-16758

  Michael Yonli descubrió que un intermediario («man-in-the-middle») que haya interceptado una conexión TCP podría tener la capacidad de inhabilitar el cifrado de paquetes UDP enviados por un nodo.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1.0.31-1+deb9u1.

Le recomendamos que actualice los paquetes de tinc.

Para información detallada sobre el estado de seguridad de tinc consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/tinc