Информация по безопасности / 2017 / Информация о безопасности -- DSA-3930-1 freeradius

Рекомендация Debian по безопасности

DSA-3930-1 freeradius -- обновление безопасности

Дата сообщения:

10.08.2017

Затронутые пакеты:

freeradius

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 868765.
В каталоге Mitre CVE: CVE-2017-10978, CVE-2017-10979, CVE-2017-10980, CVE-2017-10981, CVE-2017-10982, CVE-2017-10983, CVE-2017-10984, CVE-2017-10985, CVE-2017-10986, CVE-2017-10987.

Более подробная информация:

Гвидо Вранкен обнаружил, что FreeRADIUS, реализация RADIUS, протокола IETF для AAA (авторизации, аутентификации и учёта), с открытым исходным кодом, неправильно работает с памятью при обработке пакетов. Это может позволить удалённому злоумышленнику вызвать отказ в обслуживании из-за аварийного завершения работы приложения, либо потенциально выполнить произвольный код.

Все проблемы были исправлены в одной рекомендации по безопасности Debian, но следует заметить, что не все проблемы актуальны для всех выпусков:

• CVE-2017-10978 и CVE-2017-10983 касаются jessie и stretch;
• CVE-2017-10979, CVE-2017-10980, CVE-2017-10981 и CVE-2017-10982 касаются только jessie;
• CVE-2017-10984, CVE-2017-10985, CVE-2017-10986 и CVE-2017-10987 касаются только stretch.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.2.5+dfsg-0.2+deb8u1.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 3.0.12+dfsg-5+deb9u1.

Рекомендуется обновить пакеты freeradius.