Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4312-1 tinc

Bulletin d'alerte Debian

DSA-4312-1 tinc -- Mise à jour de sécurité

Date du rapport :

8 octobre 2018

Paquets concernés :

tinc

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-16738, CVE-2018-16758.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans tinc, un démon de réseau virtuel privé (VPN). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

• CVE-2018-16738

  Michael Yonli a découvert un défaut dans l'implémentation du protocole d'authentification qui pourrait permettre à un attaquant distant d'établir une connexion authentifiée unidirectionnelle avec un autre nœud.

• CVE-2018-16758

  Michael Yonli a découvert qu'un attaquant de type « homme du milieu » qui a intercepté une connexion TCP pourrait être capable de désactiver le chiffrage de paquets UDP envoyés par un nœud.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.0.31-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets tinc.

Pour disposer d'un état détaillé sur la sécurité de tinc, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tinc.