遠端 Debian 12 / 13 主機已安裝一個受到 dsa-6176 公告中提及的弱點影響的套件。

    - ------------------------------------------------- ------------------------ Debian 安全性公告 DSA-6176-1 security@debian.org https://www.debian.org/security/Yves-Alexis Perez 2026 年 3 月 23 日 https://www.debian.org/security/faq
    - -------------------------------------------------------------------------

    套件 strongswan CVE ID CVE-2026-25075

    Kazuma Matsumoto 在 strongSwan (IKE/IPsec 套件) 的 EAP-TTLS 外掛程式中發現一個整數溢位錯誤。

    EAP-TTLS 外掛程式不會檢查在 EAP-TTLS 中建立通道的屬性值配對 (AVP) 標頭中的長度欄位這可能會造成可能導致當機的整數反向溢位。未經驗證的攻擊者可惡意利用此瑕疵透過傳送特製的訊息發動 DoS 攻擊。

    針對舊的穩定發行版本 (bookwarm)此問題已在 5.9.8-5+deb12u3 版本中修正。

    針對穩定的發行版本 (trixie)此問題已在 6.0.1-6+deb13u4 版本中修正。

    建議您升級 strongswan 套件。

    如需 strongswan 的詳細安全性狀態請參閱其安全追踪頁面
    https://security-tracker.debian.org/tracker/strongswan

    有關 Debian 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱 : https://www.debian.org/security/

    郵寄清單：debian-security-announce@lists.debian.org

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian dsa-6176charon-cmd - 安全性更新

high Nessus Plugin ID 303374

版本 1.3

版本 1.2

版本 1.1

版本 1.3 Mar 31, 2026, 10:50 AM CVSS metrics ("Cvssv4 score" set to 8.7) CVSS metrics ("Cvssv4 threat vector" set to "CVSS:4.0/E:U") CVSS metrics ("Cvssv4 vector" set to "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N") Plugin Feed: 202603311050
版本 1.2 Mar 24, 2026, 11:39 AM CVSS metrics ("CVSSv2 score" set to 7.8) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C") CVSSv2 severity (based on CVE-2026-25075, severity increased from "Medium" to "High") Plugin Feed: 202603241139
版本 1.1 Mar 24, 2026, 4:52 AM New Plugin Feed: 202603240452