Útočníkovi je umožněno odeslat škodlivý požadavek na návrh AES-GMAC ve spojení s protokolem IKEv1 načteném s výchozím nastavením AH/ESP bez uvedení řádku "esp". To kvůli chybě ve funkci compute_proto_keymat() vede k restartu procesu. Pokud je takové spojení automaticky iniciováno při spuštění pomocí klíčového slova "auto=", může útočník způsobit opakované pády a odepření služby [1].

Zranitelnost se nachází v produktu libreswan ve verzích >=3.22 AND <=4.14.

Více informací:

• CVE-2024-3652 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-248: Uncaught Exception at cwe.mitre.org

Zranitelnost byla veřejně oznámena 15. 4. 2024.