Tá strongSwan 5.9.10 ar fáil anois, pacáiste saor in aisce chun naisc VPN a chruthú bunaithe ar phrótacal IPSec a úsáidtear i Linux, Android, FreeBSD agus macOS. Cuireann an leagan nua deireadh le leochaileacht chontúirteach (CVE-2023-26463) is féidir a úsáid chun fíordheimhniú a sheachbhóthar, ach a d’fhéadfadh a bheith mar thoradh ar fhorghníomhú cód ionsaitheora ar thaobh an fhreastalaí nó an chliaint. Tarlaíonn an fhadhb nuair a dhéantar deimhnithe atá saindeartha a bhailíochtú i modhanna fíordheimhnithe EAP (Prótacal Fíordheimhnithe Leathnaithe) atá bunaithe ar TLS.
Is í an chúis atá leis an leochaileacht ná gur ghlac an láimhseálaí TLS go mícheart le heochracha poiblí ó theastas piaraí, agus measann sé go bhfuil siad iontaofa fiú murar féidir an deimhniú a fhíorú. Go sonrach, agus an fheidhm tls_find_public_key() á ghlaoch, úsáidtear rogha bunaithe ar an gcineál eochrach poiblí chun a fháil amach cé na teastais is iontaofa. Is í an fhadhb atá ann go bhfuil an athróg a úsáidtear chun a chinneadh an cineál eochair don oibríocht cuardaigh socraithe ar aon nós, fiú mura bhfuil an deimhniú iontaofa.
Thairis sin, tríd an eochair a ionramháil, is féidir leat an gcuntar tagartha a laghdú (mura bhfuil an deimhniú iontaofa, scaoiltear an tagairt don réad tar éis cineál an eochair a chinneadh) agus cuimhne a shaoradh don réad atá fós in úsáid leis an eochair. Ní chuireann an locht seo as an áireamh cruthú shaothrú chun faisnéis a sceitheadh ón gcuimhne agus cód saincheaptha a fhorghníomhú.
Déantar an t-ionsaí ar an bhfreastalaí tríd an gcliant ag seoladh teastas féin-shínithe chun an cliant a fhíordheimhniú ag baint úsáide as modhanna EAP-TLS, EAP-TTLS, EAP-PEAP agus EAP-TNC. Is féidir ionsaí ar an gcliant a dhéanamh tríd an bhfreastalaí ag filleadh deimhniú deartha go speisialta. Tá an leochaileacht le feiceáil in eisiúintí strongSwan 5.9.8 agus 5.9.9. Is féidir foilsiú nuashonruithe pacáiste i dáiltí a rianú ar na leathanaigh: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Foinse: oscailtenet.ru