Bulletin d'alerte Debian
DSA-152-1 l2tpd -- Manque d'initialisation du système aléatoire
- Date du rapport :
- 13 août 2002
- Paquets concernés :
- l2tpd
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 5451.
Dans le dictionnaire CVE du Mitre : CVE-2002-0872, CVE-2002-0873. - Plus de précisions :
-
Les versions actuelles de l2tpd, un programme de tunnel client/serveur de couche 2, oubliaient d'initialiser le générateur aléatoire qu'il le rend vulnérable vu que tous les chiffres aléatoires sont 100 % prévisibles. When dealing with the size of the value in an attribute value pair, too many bytes were able to be copied, which could lead into the vendor field being overwritten.
Ces problèmes sont réglés dans la version 0.67-1.1 pour la distribution stable (woody) et dans celle 0.68-1 pour la distribution instable (sid). L'ancienne distribution stable (potato) n'est pas affecté vu qu'elle ne contient pas ce paquet.
Nous vous recommandons de mettre à jour vos paquets l2tpd.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1.dsc
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1.diff.gz
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/l/l2tpd/l2tpd_0.67-1.1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.