1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200604-03 / freeradius |
| Date de Parution | 04 Avril 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| net-dialup/freeradius | < 1.1.1 | >= 1.1.1, < 1.0.0 | Toutes |
3. Synopsis
Le module EAP-MSCHAPv2 de FreeRADIUS est affecté par un problème de validation de paramètres rendant possible le contournement des mesures d'authentification.
4. Informations
FreeRADIUS est un serveur d'authentification Radius Open-Source.
5. Description
FreeRADIUS ne valide pas correctement certains paramètres dans le module EAP-MSCHAPv2.
6. Impact de la faille
Un attaquant peut contourner le système d'authentification en envoyant certains paramètres spécifiquement forgés.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs de FreeRadius doivent mettre à jour ce dernier:
Mise à jour de FreeRadius
# emerge --sync # emerge --ask --oneshot --verbose ">=net-dialup/freeradius-1.1.1"
9. Références