Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2573-1 radsecproxy

Debians sikkerhedsbulletin

DSA-2573-1 radsecproxy -- SSL-certifikatvalideringssvaghed

Rapporteret den:

10. nov 2012

Berørte pakker:

radsecproxy

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-4523, CVE-2012-4566.

Yderligere oplysninger:

Ralf Paffrath rapporterede, at Radsecproxy, en RADIUS-protokolproxy, blandede klienters før- og efterhåndtryksklientverifikation. Sårbarheden kunne ukorrekt acceptere klienter uden at kontrollere deres certifikatkæde i visse opsætninger.

Raphael Geissert opdagede, at rettelsen af CVE-2012-4523 var ufuldstændig, med ophav i CVE-2012-4566. Begge sårbarheder er rettet i forbindelse med denne opdatering.

Bemærk at rettelsen kan medføre, at Radsecproxy afviser nogle klienter, som i øjeblikket (fejlagtigt) accepteres.

I den stabile distribution (squeeze), er disse problemer rettet i version 1.4-1+squeeze1.

I distributionen testing (wheezy), er disse problemer rettet i version 1.6.2-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.6.2-1.

Vi anbefaler at du opgraderer dine radsecproxy-pakker.