openswan-2.6.32-27.2.0.1.AXS4

以下項目について対処しました。

[Security Fix]
- Openswan には期待されるペイロードがない IKEv2 パケットによって，リモートの攻撃者がサービス拒否 (ヌルポインタ逆参照と IKE デーモンの再起動) を引き起こす脆弱性があります。(CVE-2013-6466)

[Bug Fix]
- IPsec デーモン (pluto) が証明書失効リスト (CRL) の署名を検証しようとする場合，署名の値が 0 バイトで始まり，パディングとして 0 を持つと，mpz() 関数が 先頭が 0 のすべてのものをストリップしてしまい，Network Security Services (NSS) データの入力が 1バイト短くなってしまい，NSS がモジュールの長さとその長さを比較する際に検証に失敗してしまう問題を修正しました。

- plutomain.c ファイルの load_crls() と load_authcerts_from_nss() の順番が誤っており，起動の際に IPsec デーモン (pluto) が証明書失効リスト (CRL) を /etc/ipsec.d/crls/ からロードしようとすると，利用可能なものがない場合，pluto がロードされた認証局 (CA) のためにチェックするためロードに失敗してしまう問題を修正しました。

- /etc/ipsec.conf 設定ファイルで "xauth" オプションを有効にし，"leftmodecfgclient" オプションを無効にすると，Openswan と特定の Cisco 製品の間の re-key が動作せず，Internet Key Exchange (IKE) トンネルが確立できない問題を修正しました。

- トランスポートモードの XFRM IPsec スタックへの passing traffic selectors の Initial support が不完全で NAT-traversal サポートのために必須のワークアラウンドが含まれておらず， NAT-Traversal を用いたデバイスを持つ Openswan が L2TP コネクションを確立できない可能性のある問題を修正しました。

- FIPS モードの場合，Openswan が SHA2 アルゴリズムを使用できない問題を修正しました。

[Enhancement]
- Openswan が Internet Key Exchage (IKE) フラグメンテーションをサポートするようになりました。

- RFC2407 セクション 4.6.3.3 による Internet Key Exchage version 1 (IKEv1) INITIAL-CONTACT IPsec message サポートが Openswan に追加されました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/