libreswan-3.12-10.1.0.1.el7.AXS7

以下項目について対処しました。

[Security Fix]
- libreswan には，(1) IPSEC DOI 値にセットされた未割り当てのビット，ある
いは (2) ISAKMP_NEXT_SAK にセットされた次のペイロード値を持つ IKEv1
パケットによって，リモートの攻撃者がサービス拒否 (デーモンの再起動) を
引き起こす脆弱性があります。(CVE-2015-3204)

- programs/pluto/state.h ファイルとprograms/pluto/kernel_netlink.c の
最大の SELinux コンテクストサイズはそれぞれ 257 と 1024 でした。
libreswan によって設定されたこれらのコンテクストサイズは，Labeled
Internet Protocol Security (IPsec) を使用する際に，pluto (IPSec デー
モン) によって交換されることができるコンテクストのサイズを制限する問題が
ありました。Labeled IPsec の SELinux のラベルを 4096 バイトに拡張するこ
とで修正しました。

- あるアーキテクチャにおいて，kernel AES_GCM IPsec アルゴリズムがアク
セラレーションドライバといっしょでは適切に動作しませんでした。そのよ
うな kernel では，アクセラレーションモジュールが modprobe のブラック
リストに追加されています。しかしながら Libreswan がそのブラックリス
トを無視し，AES_GCM failures につながる問題がありました。この問題を修正
しました。

- IPv6 ICMP 近隣探索がいったん IPsec トンネルが確立すると (そして一方
のエンドポイントが再起動すると) 適切に動作しない問題を修正しました。

- FIPS のセルフテストにおいて，libreswan が適切な FIPS モードでの開始
を妨げる問題を修正しました。

[Enhancement]
- 起動時に /dev/random ファイルからのエントロピーを用いる pre-seed
Network Security Services (NSS) 擬似乱数ジェネレータ (PRNG) 関数に新
しい オプション "seedbits=" が追加されました。このオプションはデフォ
ルトでは無効です。/etc/ipsec.conf ファイルの "config setup" セクショ
ンの "seedbits=" オプションを設定することによって有効にすることがで
きます。

- ビルドプロセスにおいて，Internet Key Exchange version 1 and 2
(IKEv1 and IKEv2) PRF/PRF+ 関数上でCryptographic Algorithm Validation
Program (CAVP) 認証テストを実行することができるようになりました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/