Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2726-1 php-radius

Säkerhetsbulletin från Debian

DSA-2726-1 php-radius -- buffertspill

Rapporterat den:

2013-07-25

Berörda paket:

php-radius

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 714362.
I Mitres CVE-förteckning: CVE-2013-2220.

Ytterligare information:

Ett buffertspill har upptäckts i insticksmodulen Radius för PHP. Funktionen som hanterar Vendor Specific Attributes antog att attributen som angavs alltid skulle ha en giltig längd. En angripare kunde använda detta antagande för att trigga ett buffertspill.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.2.5-2+squeeze1.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.2.5-2.3+deb7u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.2.5-2.4.

Vi rekommenderar att ni uppgraderar era php-radius-paket.