Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2573-1 radsecproxy

Bulletin d'alerte Debian

DSA-2573-1 radsecproxy -- Faiblesse de vérification de certificat SSL

Date du rapport :

10 novembre 2012

Paquets concernés :

radsecproxy

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-4523, CVE-2012-4566.

Plus de précisions :

Ralf Paffrath a signalé que Radsecproxy, un mandataire (proxy) de protocole RADIUS, mélange les vérifications avant et après l'initiation de connexion des clients. Cette vulnérabilité pourrait permettre d'accepter à tort des clients sans vérifier leur chaîne de certificat dans certaines conditions.

Raphael Geissert a remarqué que le correctif pour CVE-2012-4523 était incomplet, avec pour conséquence CVE-2012-4566. Ces deux vulnérabilités ont été corrigées avec cette mise à jour.

Remarquez que ce correctif pourrait forcer Radsecproxy à rejeter certains clients qui sont actuellement acceptés (à tort).

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.4-1+squeeze1.

Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 1.6.2-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.2-1.

Nous vous recommandons de mettre à jour vos paquets radsecproxy.