Bulletin d'alerte Debian

DLA-977-1 freeradius -- Mise à jour de sécurité pour LTS

Date du rapport :
5 juin 2017
Paquets concernés :
freeradius
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 742820, Bogue 789623, Bogue 863673.
Dans le dictionnaire CVE du Mitre : CVE-2014-2015, CVE-2015-4680, CVE-2017-9148.
Plus de précisions :

Plusieurs problèmes ont été découverts dans FreeRADIUS, un serveur RADIUS de haute performance et grandement configurable.

  • CVE-2014-2015

    Une dépassement de pile a été découvert dans la fonction normify dans le module rlm_pap qui peut être attaqué par des utilisateurs pour provoquer un déni de service ou d’autres problèmes.

  • CVE-2015-4680

    Freeradius échouait à la vérification de révocation de certificats CA intermédiaires, par conséquent acceptant des certificats de client issus de certificats révoqués de CA intermédiaires.

    Remarquez que pour activer la vérification de certificats intermédiaires, il est nécessaire d’activer l’option check_all_crl de la section TLS EAP dans eap.conf. Cela est seulement nécessaire pour les serveurs utilisant les certificats signés par des CA intermédiaires. Les serveurs utilisant des CA auto-signés ne sont pas touchés.

  • CVE-2017-9148

    Le cache de session TLS échoue à prévenir de manière fiable la reprise de session non authentifiée. Cela permet à des attaquants distants (tels que des solliciteurs 802.1X malveillants) de contourner l’authentification à l'aide de PEAP ou TTLS.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.1.12+dfsg-1.2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets freeradius.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.