Scientific Linux 安全性更新：libreswan on SL7.x x86_64

medium Nessus Plugin ID 86749

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

在 Libreswan 的 IKE 程序用於處理 IKE KE 承載的方法中發現一個瑕疵。遠端攻擊者可傳送特製的 IKE 承載，其中包含 g^x=0 的 KE 承載，一旦執行處理時，就可能會導致拒絕服務 (程序損毀)。(CVE-2015-3240)

注意：從舊版 Libreswan 升級時，系統會將 /etc/ipsec.d/cacerts/ 目錄中的現有 CA 憑證，以及 /etc/ipsec.d/crls/ 目錄中的現有憑證撤銷清單 (CRL) 檔案自動匯入 NSS 資料庫。完成後，Libreswan 就不會再使用這些目錄。若要安裝新的 CA 憑證或新 CRLS，必須使用 certutil 和 crlutil 命令將這些項目直接匯入 Network Security Services (NSS) 資料庫。

此更新也新增了下列增強功能：

- 此更新會新增對 RFC 7383 IKEv2 Fragmentation、RFC 7619 Auth Null 和 ID Null、INVALID_KE 重新交涉的支援、透過 NSS 的 CRL 和 OCSP 支援、適用於 IKEv2 的 AES_CTR 和 AES_GCM 支援，以及 FIPS 合規性的 CAVS 測試。

此外，此更新會強制在 FIPS 模式中執行 FIPS 演算法限制，並且在套件構建過程中，根據 FIPS 合規性執行 Composite Application Validation System (CAVS) 測試。全新密碼編譯演算法驗證程式 (CAVP) 二進位可供隨時用於重新執行 CAVS 測試。無論是否處於 FIPS 模式，pluto 程序都會針對不同演算法執行 RFC 測試向量。

此外，現於所有架構上編譯時，將啟用‘-Werror’ GCC 選項，其會將所有警告轉為錯誤，進而提升安全性防護。

- 此更新還修正了數個記憶體洩漏，並且引入次秒封包重新傳送選項。

- 此更新改善了從 Openswan 移轉至 Libreswan 的支援功能。具體而言，現已支援所有使用不含後置詞之時間值的 Openswan 選項，並且加入數個新的關鍵字，可供用於 /etc/ipsec.conf 檔案。請參閱相關手冊頁，進一步瞭解詳細資料。

- 透過此更新，將可取代藉由 ‘loopback=’ 選項執行的回送支援。