NEWS: Add info about CVE-2015-8023

author Tobias Brunner <tobias@strongswan.org>

Thu, 12 Nov 2015 14:35:52 +0000 (15:35 +0100)

committer Andreas Steffen <andreas.steffen@strongswan.org>

Mon, 16 Nov 2015 12:19:36 +0000 (13:19 +0100)
author Tobias Brunner <tobias@strongswan.org>
Thu, 12 Nov 2015 14:35:52 +0000 (15:35 +0100)
committer Andreas Steffen <andreas.steffen@strongswan.org>
Mon, 16 Nov 2015 12:19:36 +0000 (13:19 +0100)
diff --git a/NEWS b/NEWS

index d2ff0ede042628430a35126e942773d382dbc976..4674e52e6c95bdcfb7d438e1a36a11d4437aa65b 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -1,6 +1,11 @@
  strongswan-5.3.4
  ----------------
  
+- Fixed an authentication bypass vulnerability in the eap-mschapv2 plugin that
+  was caused by insufficient verification of the internal state when handling
+  MSCHAPv2 Success messages received by the client.
+  This vulnerability has been registered as CVE-2015-8023.
+
  - The sha3 plugin implements the SHA3 Keccak-F1600 hash algorithm family.
    Within the strongSwan framework SHA3 is currently used for BLISS signatures
    only because the OIDs for other signature algorithms haven't been defined
@@ -46,7 +51,7 @@ strongswan-5.3.3
    since 5.0.0) and packets that have the flag set incorrectly are again ignored.
  
  - Implemented a demo Hardcopy Device IMC/IMV pair based on the "Hardcopy
-  Device Health Assessment Trusted Network Connect Binding" (HCD-TNC) 
+  Device Health Assessment Trusted Network Connect Binding" (HCD-TNC)
    document drafted by the IEEE Printer Working Group (PWG).
  
  - Fixed IF-M segmentation which failed in the presence of multiple small
author	Tobias Brunner <tobias@strongswan.org>
	Thu, 12 Nov 2015 14:35:52 +0000 (15:35 +0100)
committer	Andreas Steffen <andreas.steffen@strongswan.org>
	Mon, 16 Nov 2015 12:19:36 +0000 (13:19 +0100)