
<div dir="ltr">Help with this would be appreciated. I’m not sure about the appropriate processes, so if you could clarify that with the security/release team, that’d be helpful.</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jul 18, 2017 at 3:51 AM, Karsten Heymann <span dir="ltr"><<a href="mailto:karsten.heymann@gmail.com" target="_blank">karsten.heymann@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Subject: freeradius: New upstream version 2.2.10 fixing security critical bugs<br>

Package: freeradius<br>

Version: 2.2.5+dfsg-0.2<br>

Justification: user security hole<br>

Severity: grave<br>

Tags: security upstream<br>

<br>

The freeradius team released version 2.2.10 fixing several important<br>

security issues found by a fuzzing analysis.<br>

<br>

See:<br>

<a href="http://freeradius.org/press/index.html#2.2.10" rel="noreferrer" target="_blank">http://freeradius.org/press/<wbr>index.html#2.2.10</a><br>

<a href="http://freeradius.org/security/fuzzer-2017.html" rel="noreferrer" target="_blank">http://freeradius.org/<wbr>security/fuzzer-2017.html</a><br>

<br>

The following issues were found for v2 of freeradius up to 2.2.9:<br>

- CVE-2017-10978. No remote code execution is possible. A denial of<br>

service is possible.<br>

- CVE-2017-10979. Remote code execution is possible. A denial of<br>

service is possible.<br>

<br>

The following affect only the DHCP part of freeradius, which is seldomly used:<br>

- CVE-2017-10980. No remote code execution is possible. A denial of<br>

service is possible.<br>

- CVE-2017-10981. No remote code execution is possible. A denial of<br>

service is possible.<br>

- CVE-2017-10982. No remote code execution is possible. A denial of<br>

service is possible.<br>

- CVE-2017-10983. No remote code execution is possible. A denial of<br>

service is possible.<br>

<br>

I'm not sure what's the best way to proceed. As I assume updating the<br>

package in oldstable to 2.2.10 is not a realistic option, my guess<br>

would be that at least CVE-2017-10978 and CVE-2017-10979 should be<br>

fixed in the code via backporting the relevant fixes. This is even<br>

more critical as there is no backport of freeradius 3 in jessie, and<br>

it is not possible to create or update backports for oldstable.<br>

<br>

-- System Information:<br>

Debian Release: 8.8<br>

  APT prefers oldstable-updates<br>

  APT policy: (500, 'oldstable-updates'), (500, 'oldstable')<br>

Architecture: amd64 (x86_64)<br>

<br>

Kernel: Linux 3.16.0-4-amd64 (SMP w/1 CPU core)<br>

Locale: LANG=de_DE.UTF-8, LC_CTYPE=de_DE.UTF-8 (charmap=UTF-8)<br>

Shell: /bin/sh linked to /bin/dash<br>

Init: systemd (via /run/systemd/system)<br>

<br>

Versions of packages freeradius depends on:<br>

ii  adduser            3.113+nmu3<br>

ii  ca-certificates    20141019+deb8u3<br>

ii  freeradius-common  2.2.5+dfsg-0.2<br>

ii  libc6              2.19-18+deb8u10<br>

ii  libfreeradius2     2.2.5+dfsg-0.2<br>

ii  libgdbm3           1.8.3-13.1<br>

ii  libltdl7           2.4.2-1.11+b1<br>

ii  libpam0g           1.1.8-3.1+deb8u2<br>

ii  libperl5.20        5.20.2-3+deb8u7<br>

ii  libpython2.7       2.7.9-2+deb8u1<br>

ii  libssl1.0.0        1.0.1t-1+deb8u6<br>

ii  lsb-base           4.1+Debian13+nmu1<br>

ii  ssl-cert           1.0.35<br>

<br>

Versions of packages freeradius recommends:<br>

ii  freeradius-utils  2.2.5+dfsg-0.2<br>

<br>

Versions of packages freeradius suggests:<br>

pn  freeradius-krb5        <none><br>

ii  freeradius-ldap        2.2.5+dfsg-0.2<br>

ii  freeradius-mysql       2.2.5+dfsg-0.2<br>

pn  freeradius-postgresql  <none><br>

<br>

-- Configuration Files:<br>

/etc/freeradius/clients.conf changed [not included]<br>

/etc/freeradius/eap.conf changed [not included]<br>

/etc/freeradius/ldap.attrmap changed [not included]<br>

/etc/freeradius/modules/ldap changed [not included]<br>

/etc/freeradius/modules/pap changed [not included]<br>

/etc/freeradius/sites-<wbr>available/control-socket changed [not included]<br>

/etc/freeradius/sites-<wbr>available/default changed [not included]<br>

/etc/freeradius/sites-<wbr>available/inner-tunnel changed [not included]<br>

/etc/freeradius/sql.conf changed [not included]<br>

/etc/freeradius/users changed [not included]<br>

<br>

-- no debconf information<br>

<br>

______________________________<wbr>_________________<br>

Pkg-freeradius-maintainers mailing list<br>

<a href="mailto:Pkg-freeradius-maintainers@lists.alioth.debian.org">Pkg-freeradius-maintainers@<wbr>lists.alioth.debian.org</a><br>

<a href="https://lists.alioth.debian.org/mailman/listinfo/pkg-freeradius-maintainers" rel="noreferrer" target="_blank">https://lists.alioth.debian.<wbr>org/mailman/listinfo/pkg-<wbr>freeradius-maintainers</a><br>

</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Best regards,<br>Michael</div>

</div>