Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3930-1 freeradius

Debians sikkerhedsbulletin

DSA-3930-1 freeradius -- sikkerhedsopdatering

Rapporteret den:

10. aug 2017

Berørte pakker:

freeradius

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 868765.
I Mitres CVE-ordbog: CVE-2017-10978, CVE-2017-10979, CVE-2017-10980, CVE-2017-10981, CVE-2017-10982, CVE-2017-10983, CVE-2017-10984, CVE-2017-10985, CVE-2017-10986, CVE-2017-10987.

Yderligere oplysninger:

Guido Vranken opdagede at FreeRADIUS, en open source-implementering af RADIUS, IETF-protokollen til AAA (Authorisation, Authentication og Accounting), ikke på korrekt vis håndterede hukommelse, når pakker blev behandlet. Dermed fik en fjernangriber mulighed for at forårsage et lammelsesangreb, gennem et applikationsnedbrud, eller potentielt udføre vilkårlig kode.

Alle problemerne er dækket af denne DSA, men bemærk at alle problem ikke påvirker alle udgivelser:

• CVE-2017-10978 og CVE-2017-10983 påvirker både jessie og stretch;
• CVE-2017-10979, CVE-2017-10980, CVE-2017-10981 og CVE-2017-10982 påvirker kun jessie;
• CVE-2017-10984, CVE-2017-10985, CVE-2017-10986 og CVE-2017-10987 påvirker kun stretch.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 2.2.5+dfsg-0.2+deb8u1.

I den stabile distribution (stretch), er disse problemer rettet i version 3.0.12+dfsg-5+deb9u1.

Vi anbefaler at du opgraderer dine freeradius-pakker.