Csomag: l2tpd
Sebezhetőség: hiányzó véletlen adat (random seed)
Probléma típus: távoli
Debian-specifikus: nem
Az l2tpd jelenlegi verziója, ami egy layer 2 tunelező kliens/szerver program, elfelejti inicializálnii a véletlenszámgenerátort, ami sebezhetővé teszi, lévén az összes generált véletlenszám 100%-osan kitalálható. Amikor az érték méretével foglalkozik, egy attribútumpárban, túl sok bájtot képes másolni, ami felhasználható a gyártó mező (vendor field) felülírására.A problémát javítja a 0.67-1.1 verzió az aktuális stabil disztribúcióban (woody), és a 0.68-1 verzió, az unstabil disztribúcióban (sid). A régi stabil disztribúció (potato) nem érintett lévén nem tartalmazza az l2tpd csomagot.
Javasoljuk frissítsd az l2tpd csomagjaid.
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.