Информация по безопасности / 2012 / Информация о безопасности -- DSA-2573-1 radsecproxy

Рекомендация Debian по безопасности

DSA-2573-1 radsecproxy -- слабая проверка SSL-сертификатов

Дата сообщения:

10.11.2012

Затронутые пакеты:

radsecproxy

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-4523, CVE-2012-4566.

Более подробная информация:

Ральф Паффрат сообщил, что Radsecproxy, прокси для протокола RADIUS, смешивает верификацию клиентов до и после рукопожатия. При определённых настройках данная уязвимость может приводить к ошибочному принятию клиентов без выполнения проверки их цепочек сертификатов.

Рафаэль Гессер заметил, что исправление CVE-2012-4523 неполно и приводит к CVE-2012-4566. Обе уязвимости исправлены в данном обновлении.

Заметьте, что это обновление может привести к тому, что Radsecproxy будет отклонять некоторых клиентов, которые в настоящее время (ошибочно) принимаются.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4-1+squeeze1.

В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 1.6.2-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.6.2-1.

Рекомендуется обновить пакеты radsecproxy.