Säkerhetsbulletin från Debian

DSA-2573-1 radsecproxy -- svaghet i verifiering av SSL-certifikat

Rapporterat den:
2012-11-10
Berörda paket:
radsecproxy
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-4523, CVE-2012-4566.
Ytterligare information:

Ralf Paffrath rapporterade att Radsecproxy, en proxy för RADIUS-protokollet, blandar ihop för- och efter-handskakningsverifiering av klienter. Denna sårbarhet kan felaktigt acceptera klienter utan att kontrollera deras certifikatkedja under vissa konfigurationer.

Raphael Geissert upptäckte att rättningen för CVE-2012-4523 var ofullständig, och orsakade CVE-2012-4566. Båda dessa sårbarheter rättas med denna uppdatering.

Notera att denna rättning kan göra att Radsecproxy förkastar några klienter som för närvarande (felaktigt) accepteras.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 1.4-1+squeeze1.

För uttestningsutgåvan (Wheezy) har dessa problem rättats i version 1.6.2-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.6.2-1.

Vi rekommenderar att ni uppgraderar era radsecproxy-paket.