Risque
- Déni de service
Systèmes affectés
- FreeRADIUS versions 1.1.0 et antérieures.
Résumé
Une vulnérabilité dans FreeRADIUS permet à un utilisateur distant de provoquer un déni de service du système vulnérable.
Description
Une erreur dans la mise en œuvre du protocole d'authentification EAP-MSCHAPv2 dans FreeRADIUS permet à un utilisateur mal intentionné distant, mais sur le même segment de réseau, de provoquer un déni de service du système vulnérable par le biais d'une machine cliente malicieusement configurée.
Solution
La version 1.1.1 de FreeRADIUS corrige le problème :
http://www.freeradius.org/getting.html
Documentation
- Bulletin de sécurité FreeRADIUS du 21 mars 2006 http://www.freeradius.org/security.html
- Bulletin de sécurité Debian DSA-1089 du 3 juin 2006 : http://www.debian.org/security/2006/dsa-1089
- Bulletin de sécurité FreeBSD du 4 avril 2006 : http://www.vuxml.org/freebsd/pkg-freeradius.html
- Bulletin de sécurité Gentoo GLSA-200604-03 du 4 avril 2006 : http://security.gentoo.org/glsa/glsa-200604-03.xml
- Bulletin de sécurité Mandriva MDKSA-2006:060 du 23 mars 2006 : http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:060
- Bulletin de sécurité Mandriva MDKSA-2006:066 du 05 mars 2006 : http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:066
- Bulletin de sécurité RedHat RHSA-2006:0271-11 du 4 avril 2006 : https://rhn.redhat.com/errata/RHSA-2006-0271.html
- Site de FreeRADIUS : http://www.freeradius.org
- Référence CVE CVE-2006-1354 https://www.cve.org/CVERecord?id=CVE-2006-1354