セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2546-1 freeradius

Debian セキュリティ勧告

DSA-2546-1 freeradius -- スタック由来のバッファオーバーフロー

報告日時:

2012-09-11

影響を受けるパッケージ:

freeradius

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 687175.
Mitre の CVE 辞書: CVE-2012-3547.

詳細:

Timo Warns さんは、高性能で幅広い設定が可能な RADIUS サーバーである freeradius の EAP-TLS の取扱いで、利用者からの入力を局所的なスタック バッファへコピーする前に長さの検査を適切に実施していないことを見つけま した。この結果、認証されていない攻撃者が細工を施した証明書でこの欠陥を 衝いて、常駐処理を異常終了させたり任意のコードを実行することができます。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.1.10+dfsg-2+squeeze1 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近く 修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 2.1.12+dfsg-1.1 で修正されています。

直ぐに freeradius パッケージをアップグレードすることを勧めます。