Vulnérabilité de FreeRADIUS

Gestion du document

Référence	CERTA-2009-AVI-384-001
Titre	Vulnérabilité de FreeRADIUS
Date de la première version	11 septembre 2009
Date de la dernière version	25 septembre 2009
Source(s)	Bulletin de sécurité FreeRADIUS du 09 septembre 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service à distance.

Systèmes affectés

FreeRADIUS versions 1.1.3 à 1.1.7.

Résumé

Une vulnérabilité présente dans FreeRADIUS permet à un utilisateur distant de provoquer un déni de service.

Description

Une vulnérabilité est présente dans FreeRADIUS. Elle est relative à la fonction rad_decode() et permet à un utilisateur distant de provoquer un déni de service par le biais d'un paquet de demande d'accès (Access-Request) construit de façon particulière.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La version 1.1.8 corrige le problème :

http://www.freeradius.org

Documentation

Bulletin de sécurité FreeRADIUS du 09 septembre 2009 :

https://lists.freeradius.org/pipermail/freeradius-users/2009-September/msg00242.html

Bulletin de sécurité RedHat RHSA-2009:1451-1 du 17 septembre 2009 :
```
https://rhn.redhat.com/errata/RHSA-2009-1451.html
```
Bulletin de sécurité Ubuntu USN-832-1 du 16 septembre 2009 :
```
http://www.ubuntu.com/usn/USN-832-1
```

Référence CVE CVE-2009-3111 :

https://www.cve.org/CVERecord?id=CVE-2009-3111

Gestion détaillée du document

le 11 septembre 2009: version initiale.

le 25 septembre 2009: ajout des références aux bulletins RedHat et Ubuntu.

Avis du CERT-FR

Objet: Vulnérabilité de FreeRADIUS