Scientific Linux 安全更新：SL7.x x86_64 中的 libreswan

medium Nessus 插件 ID 84393

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

在 Libreswan 的 IKE 后台程序处理特定 IKEv1 负载的方式中发现一个缺陷。远程攻击者可发送特别构建的 IKEv1 负载，在处理过程中将导致拒绝服务（后台程序崩溃）。(CVE-2015-3204)

此更新修复了以下缺陷：

- 此前，programs/pluto/state.h 和 programs/pluto/kernel_netlink.c 文件的最大 SELinux 上下文分别是 257 和 1024。由 libreswan 制定的这些限制对使用带标签的 Internet 协议安全 (IPsec) 时可通过 pluto（IPSec 后台程序）交换的上下文大小进行了限制。带标签的 IPsec 的 SElinux 标签已扩展至 4096 字节，上述限制不再存在。

- 在某些架构上，内核 AES_GCM IPsec 算法未正常使用加速驱动程序。在这些内核上，一些加速模块已添加到 modprobe 黑名单。但是， Libreswan 忽略了此黑名单，从而导致 AES_GCM 失败。
本次更新将对模块黑名单的支持添加到 libreswan 程序包，从而避免 AES_GCM 失败。

- IPv6 问题已得到解决，从而避免建立 IPsec 隧道（并重新启动某一端点）后 ipv6-icmp 邻居发现可正常工作。升级时，请确保 /etc/ipsec.conf 使用 /etc/ipsec.conf 'include' 语句加载所有 /etc/ipsec.d/*conf 文件，或将此新配置文件明确包括在 /etc/ipsec.conf 中。

- FIPS 自测试阻止 libreswan 以 FIPS 模式正常启动。此缺陷已修复，现在可在 FIPS 模式下正常运行 libreswan。

此外，此更新还添加了以下增强：

- 新选项“seedbits=”已添加，以便在启动时预传播 /dev/random 文件中包含熵的网络安全服务 (NSS) 伪随机数发生器 (PRNG) 函数。默认情况下，此选项为禁用状态。可以通过在 /etc/ipsec.conf 文件的“配置设置”部分中设置“seedbits=”选项来启用该选项。

- 现在，版本进程对 Internet 密钥交换版本 1 和 2（IKEv1 和 IKEv2）PRF/PRF+ 函数运行加密算法验证程序 (CAVP) 证书测试。