freeradius-2.2.6-4.AXS4
エラータID: AXSA:2015-304:01
以下項目について対処しました。
[Security Fix]
- FreeeRADIUS の rlm_pap モジュール (modules/rlm_pap/rlm_pap.c) の normify 関数にはスタックベースのバッファーオーバーフローが存在し,長いパスワードハッシュによって,攻撃者がサービス拒否 (クラッシュ) を引き起こし,任意のコードを実行する可能性のある脆弱性があります。(CVE-2014-2015)
[Bug Fix]
- ディクショナリの数がアップデートされました。
- いくつかの Extensible Authentication Protocol (EAP) の改善を実装しました。
- 次の拡張を含む, 多くの拡張を追加しました。%{randstr:...},
%{hex:...}, %{sha1:...}, %{base64:...}, %{tobase64:...}, %{base64tohex:...}.
- %{expr:...} 表現で16進数の数 (0x...) がサポートされました。
- rlm_python モジュールへのオペレータサポートを追加しました。
- The Dynamic Host Configuration Protocol (DHCP) と DHCP relay code が
確定されました。
- /var/log/radius/radutmp ファイルが,たとえ不要でも,一ヶ月間隔でローテートされるように設定されていた問題を修正しました。
- rlm_cache モジュールを cache arbitrary 属性に追加しました。
- radiusd サービスが raddebug ユーティリティにより作成されたファイルに書き込みできませんでした。raddebug ユーティリティが出力ファイルのオーナーシップを正しくセットするように修正しました。
- "raddebug -t 0" コマンドを用いた raddebug を開始後,raddebug がただちに終了してしまう問題を修正しました。
- 正しい認証情報を提供しているのにもかかわらず,User-Name と
MS-CHAP-User-Nameattributes が異なったエンコーディングを使用している場
合,MS-CHAP 認証が失敗してしまう問題を修正しました。
- 自動的に生成されたデフォルトの証明書が セキュアではないと判断される SHA-1 アルゴリズムメッセージダイジェストを使用していた問題を修正しました。
- Online Certificate Status Protocol (OCSP) バリデーションの間,OCSP レスポンダによって提供される Next update フィールドにアクセスしようとすると,radiusd が予期せず終了してしまう問題を修正しました。
- インストールされた directory.mikrotik ファイルがいくつかの比較的最近の MikroTIK 属性を含んでいないため,radisud がそれらとともに動作しない問題を修正しました。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
パッケージをアップデートしてください。
Stack-based buffer overflow in the normify function in the rlm_pap module (modules/rlm_pap/rlm_pap.c) in FreeRADIUS 2.x, possibly 2.2.3 and earlier, and 3.x, possibly 3.0.1 and earlier, might allow attackers to cause a denial of service (crash) and possibly execute arbitrary code via a long password hash, as demonstrated by an SSHA hash.
N/A
SRPMS
- freeradius-2.2.6-4.AXS4.src.rpm
MD5: 5226b2a971762b2b79c3056ee827382d
SHA-256: c6872f0650b71442b8757d9f3315dc9112b1d074e314ae706d7f4d6786f295f6
Size: 2.75 MB
Asianux Server 4 for x86
- freeradius-2.2.6-4.AXS4.i686.rpm
MD5: b1274764573bed06b7b02c44caa02af2
SHA-256: bbc517a8e22079d2bd23db0cbab0d01e5f38f2e511199e60aadb555fdb7b80c5
Size: 1.52 MB
Asianux Server 4 for x86_64
- freeradius-2.2.6-4.AXS4.x86_64.rpm
MD5: 17fede287c3142d100d69c66203298d6
SHA-256: 8be2b21b22bf18d82a60e51409ba5bffbe57381648345131e97199d62797ee8c
Size: 1.52 MB