セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2573-1 radsecproxy

Debian セキュリティ勧告

DSA-2573-1 radsecproxy -- SSL 証明書検証の弱点

報告日時:

2012-11-10

影響を受けるパッケージ:

radsecproxy

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-4523, CVE-2012-4566.

詳細:

Ralf Paffrath さんが RADIUS プロトコルのプロキシである Radsecproxy がクライアントのハンドシェイク前後の検証を取り違えていることを報告しました。 この脆弱性は特定の設定の下で証明書チェインを確認せずにクライアントを不当に受け入れる可能性があります。

Raphael Geissert さんが CVE-2012-4523 の修正が完全ではなく、その原因が CVE-2012-4566 であることを指摘しました。この脆弱性はどちらもこの更新で修正されています。

現在 (誤って) 受け入れられているクライアントの中には、この修正により Radsecproxy が拒否するようになるものがあることに注意してください。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.4-1+squeeze1 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 1.6.2-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.6.2-1 で修正されています。

直ちに radsecproxy パッケージをアップグレードすることを勧めます。