Информация по безопасности / 2012 / Информация о безопасности -- DSA-2546-1 freeradius

Рекомендация Debian по безопасности

DSA-2546-1 freeradius -- переполнение буфера

Дата сообщения:

11.09.2012

Затронутые пакеты:

freeradius

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 687175.
В каталоге Mitre CVE: CVE-2012-3547.

Более подробная информация:

Тимо Уарнс обнаружил, что код обработки EAP-TLS в FreeRADIUS, высокопроизводительном и гибко настраиваемом сервере RADIUS, неправильно выполняет проверку длины передаваемых пользователем вводных данных до их копирования в локальный буфер. В результате неаутентифицированный злоумышленник может использовать данную уязвимость для аварийного завершения работы службы или выполнения произвольного кода при помощи специально сформированного сертификата.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.1.10+dfsg-2+squeeze1.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.1.12+dfsg-1.1.

Рекомендуется обновить пакеты freeradius.