Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3930-1 freeradius

Säkerhetsbulletin från Debian

DSA-3930-1 freeradius -- säkerhetsuppdatering

Rapporterat den:

2017-08-10

Berörda paket:

freeradius

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 868765.
I Mitres CVE-förteckning: CVE-2017-10978, CVE-2017-10979, CVE-2017-10980, CVE-2017-10981, CVE-2017-10982, CVE-2017-10983, CVE-2017-10984, CVE-2017-10985, CVE-2017-10986, CVE-2017-10987.

Ytterligare information:

Guido Vranken upptäckte att FreeRADIUS, en öppen källkodsimplementation av RADIUS, IETF-protokollet för AAA (Authorisation, Authentication, and Accounting), inte hanterar minne ordentligt vid behandling av paket. Detta kunde tillåta en fjärrangripare att orsaka en överbelastning genom applikationskrasch, eller potentiellt köra godtycklig kod.

Alla dessa problem omfattas av denna enda DSA, men det är värt att nämna att inte alla problem påverkar alla versioner:

• CVE-2017-10978 och CVE-2017-10983 påverkar både Jessie och Stretch;
• CVE-2017-10979, CVE-2017-10980, CVE-2017-10981 och CVE-2017-10982 påverkar endast Jessie;
• CVE-2017-10984, CVE-2017-10985, CVE-2017-10986 och CVE-2017-10987 påverkar endast Stretch.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 2.2.5+dfsg-0.2+deb8u1.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 3.0.12+dfsg-5+deb9u1.

Vi rekommenderar att ni uppgraderar era freeradius-paket.