Bulletin d'alerte Debian

DSA-2726-1 php-radius -- Dépassement de tampon

Date du rapport :
25 juillet 2013
Paquets concernés :
php-radius
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 714362.
Dans le dictionnaire CVE du Mitre : CVE-2013-2220.
Plus de précisions :

Un dépassement de tampon a été découvert dans l'extension Radius pour PHP. La fonction de traitement des attributs spécifiques des fabriquants (Vendor Specific Attributes) supposait que les attributs donnés étaient toujours d'une taille valide. Un attaquant pourrait se servir de cette supposition pour déclencher un dépassement de tampon.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.5-2+squeeze1.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.2.5-2.3+deb7u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.5-2.4.

Nous vous recommandons de mettre à jour vos paquets php-radius.