Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 septembre 2009

N° CERTA-2009-AVI-384

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de FreeRADIUS

Gestion du document

Référence	CERTA-2009-AVI-384
Titre	Vulnérabilité de FreeRADIUS
Date de la première version	11 septembre 2009
Date de la dernière version	25 septembre 2009
Source(s)	Bulletin de sécurité FreeRADIUS du 09 septembre 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service à distance

Systèmes affectés

FreeRADIUS versions 1.1.3 à 1.1.7.

Résumé

Une vulnérabilité présente dans FreeRADIUS permet à un utilisateur distant de provoquer un déni de service.

Description

Une vulnérabilité est présente dans FreeRADIUS. Elle est relative à la fonction rad_decode() et permet à un utilisateur distant de provoquer un déni de service par le biais d'un paquet de demande d'accès (Access-Request) construit de façon particulière.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La version 1.1.8 corrige le problème :

http://www.freeradius.org

Documentation

Bulletin de sécurité FreeRADIUS du 09 septembre 2009

https://lists.freeradius.org/pipermail/freeradius-users/2009-September/msg00242.html

Bulletin de sécurité RedHat RHSA-2009:1451-1 du 17 septembre 2009 :

https://rhn.redhat.com/errata/RHSA-2009-1451.html

Bulletin de sécurité Ubuntu USN-832-1 du 16 septembre 2009 : http://www.ubuntu.com/usn/USN-832-1

https://www.ubuntu.com/usn/USN-832-1

Référence CVE CVE-2009-3111

https://www.cve.org/CVERecord?id=CVE-2009-3111

Gestion détaillée du document

le 11 septembre 2009: version initiale.
le 25 septembre 2009: ajout des références aux bulletins RedHat et Ubuntu.