Scientific Linux 安全性更新：libreswan on SL7.x x86_64

medium Nessus Plugin ID 84393

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

在 Libreswan 的 IKE 程序處理某些 IKEv1 承載的方式中發現瑕疵。遠端攻擊者可傳送特製的 IKEv1 承載，當執行處理時，就可能導致拒絕服務 (程序損毀)。(CVE-2015-3204)

此項更新可修正下列錯誤：

- 之前，programs/pluto/state.h 和 programs/pluto/kernel_netlink.c 檔案的最大 SELinux 內容大小分別是 257 和 1024。這些由 libreswan 所設定的限制會限制在使用標記網際網路通訊協定安全性 (IPsec) 時，pluto (IPSec 程序) 可交換的內容大小。標籤 IPsec 的 SElinux 標籤已經擴充為 4096 位元組，而且上述的限制已不存在。

- 在某些架構上，核心 AES_GCM IPsec 演算法未與加速驅動程式正確搭配運作。在該類核心上，某些加速模組被新增至 modprobe 黑名單中。不過，Libreswan 會忽略此黑名單，進而導致 AES_GCM 失敗。
此更新將模組黑名單的支援新增至 libreswan 套件，因此可防止 AES_GCM 失敗發生。

- IPv6 有一個問題已經解決；當 IPsec 通道建立 (且一個端點重新開機) 時，該問題會使 ipv6-icmp Neighbour Discovery 無法正常運作。在升級時，請確保 /etc/ipsec.conf 使用 /etc/ipsec.conf「include」陳述式來載入所有 /etc/ipsec.d/*conf 檔案，或者將此新組態檔案明確包含在 /etc/ipsec.conf 中。

- 有一個 FIPS 自我測試會使 libreswan 在 FIPS 模式中無法正確啟動。此錯誤已經修正，libreswan 現在可在 FIPS 模式中如預期運作。

此外，此更新還新增了下列增強功能：

- 新增「seedbits=」選項，可在啟動時從 /dev/random 檔案預先植入包含熵的 Network Security Services (NSS) 虛擬亂數產生器 (PRNG) 函式。此選項預設為停用狀態。若要加以啟動，可設定 /etc/ipsec.conf 檔案的「config setup」區段中的「seedbits=」選項。

- 現在，版本處理程序會對網際網路金鑰交換 1 和 2 版 (IKEv1 和 IKEv2) PRF/PRF+ 函式執行密碼編譯演算法驗證程式 (CAVP) 憑證測試。