Säkerhetsbulletin från Debian
DSA-4312-1 tinc -- säkerhetsuppdatering
- Rapporterat den:
- 2018-10-08
- Berörda paket:
- tinc
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2018-16738, CVE-2018-16758.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i tinc, en demon för Virtuella Privata Nätverk (Virtual Private Network - VPN). Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2018-16738
Michael Yonli upptäckte en brist i implementationen av autentiseringsprotokollet som kunde tillåta en fjärrangripare att etablera en autentiserad, envägsanslutning med en annan nod.
- CVE-2018-16758
Michael Yonli upptäckte att ett man-in-the-middle-angrepp som har avlyssnat en TCP-anslutning kan ha möjlighet att inaktivera kryptering av UDP-paket som skickas av en nod.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.0.31-1+deb9u1.
Vi rekommenderar att ni uppgraderar era tinc-paket.
För detaljerad säkerhetsstatus om tinc vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/tinc
- CVE-2018-16738