DSA 152-1 Az új l2tpd csomagok jobb véletlenszerűséget adnak

Címkék

Csomag: l2tpd

Sebezhetőség: hiányzó véletlen adat (random seed)

Probléma típus: távoli

Debian-specifikus: nem



Az l2tpd jelenlegi verziója, ami egy layer 2 tunelező kliens/szerver program, elfelejti inicializálnii a véletlenszámgenerátort, ami sebezhetővé teszi, lévén az összes generált véletlenszám 100%-osan kitalálható. Amikor az érték méretével foglalkozik, egy attribútumpárban, túl sok bájtot képes másolni, ami felhasználható a gyártó mező (vendor field) felülírására.A problémát javítja a 0.67-1.1 verzió az aktuális stabil disztribúcióban (woody), és a 0.68-1 verzió, az unstabil disztribúcióban (sid). A régi stabil disztribúció (potato) nem érintett lévén nem tartalmazza az l2tpd csomagot.



Javasoljuk frissítsd az l2tpd csomagjaid.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.