Bulletin d'alerte Debian

DSA-2573-1 radsecproxy -- Faiblesse de vérification de certificat SSL

Date du rapport :
10 novembre 2012
Paquets concernés :
radsecproxy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-4523, CVE-2012-4566.
Plus de précisions :

Ralf Paffrath a signalé que Radsecproxy, un mandataire (proxy) de protocole RADIUS, mélange les vérifications avant et après l'initiation de connexion des clients. Cette vulnérabilité pourrait permettre d'accepter à tort des clients sans vérifier leur chaîne de certificat dans certaines conditions.

Raphael Geissert a remarqué que le correctif pour CVE-2012-4523 était incomplet, avec pour conséquence CVE-2012-4566. Ces deux vulnérabilités ont été corrigées avec cette mise à jour.

Remarquez que ce correctif pourrait forcer Radsecproxy à rejeter certains clients qui sont actuellement acceptés (à tort).

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.4-1+squeeze1.

Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 1.6.2-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.2-1.

Nous vous recommandons de mettre à jour vos paquets radsecproxy.