Skip to content

サポート   >  セキュリティー&アップデート/ERRATA

中（Moderate）：freeradiusのセキュリティアップデート

アドバイスID:	RHSA-2005:524-05
最終更新日:	2005-06-23
影響のあるプロダクト:	Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux ES (v. 4)
CVEs (cve.mitre.org):	CAN-2005-1454 CAN-2005-1455

  セキュリティ・アドバイス

概要:

バッファオーバーフローとsqlモジュールでのSQLインジェクション攻撃の可能性を修正した、freeradiusのアップデートパッケージが利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中（Moderate）」のセキュリティ問題と評価されています。

FreeRADIUSは、高性能で高度な設定が可能なフリーのRADIUSサーバであり、ネットワークで中央集中型の認証と許可を実行できるように設計されています。

FreeRADIUSがSQLクエリーのデータをエスケープする処理で、バッファオーバーフローのバグが見つかりました。攻撃者がFreeRADIUSに3文字以下の文字列をエスケープさせた場合、FreeRADIUSをクラッシュさせることが可能です。「Common Vulnerabilities and Exposures」プロジェクト（cve.mitre.org）により、この問題はCAN-2005-1454と命名されています。

さらに、FreeRADIUSのSQLデータのエスケープ処理でバグが見つかりました。認証されたユーザが巧妙に作成した要求をFreeRADIUSに送信することにより、任意のSQLクエリーを実行することが可能です。「Common Vulnerabilities and Exposures」プロジェクト（cve.mitre.org）により、この問題はCAN-2005-1455と命名されています。

FreeRADIUSのユーザは、バックポートパッチを含み、これらの問題に対する脆弱性のない上記エラータパッケージにアップデートしてください。

アップデート・パッケージ:

Red Hat Enterprise Linux AS (v. 3)
SRPMS:
freeradius-1.0.1-1.1.RHEL3.src.rpm	1fd359fe09899c240dd58c6b1cba38b7
IA-32:
freeradius-1.0.1-1.1.RHEL3.i386.rpm	8fd519d93b3871849933b28f7e1bc2d9
IA-64:
freeradius-1.0.1-1.1.RHEL3.ia64.rpm	5442a3527c92a8d07d08acd77dace190
PPC:
freeradius-1.0.1-1.1.RHEL3.ppc.rpm	fd51f53af3f1e45fe6c0dad9a68fbad0
s390:
freeradius-1.0.1-1.1.RHEL3.s390.rpm	536f28bdca07bf52391d5cae2e8f073c
s390x:
freeradius-1.0.1-1.1.RHEL3.s390x.rpm	209ec09aa78f6e0e4ab8f26f4b356182
x86_64:
freeradius-1.0.1-1.1.RHEL3.x86_64.rpm	4b1d9482db8d45cb79e6c522e72cb25a
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
freeradius-1.0.1-3.RHEL4.src.rpm	454ecaca99cdbbbd70d31b72aae7e682
IA-32:
freeradius-1.0.1-3.RHEL4.i386.rpm	ff75a31027509f376c3706efaeb10305
freeradius-mysql-1.0.1-3.RHEL4.i386.rpm	ff28f13e57713e277a74b789969bc583
freeradius-postgresql-1.0.1-3.RHEL4.i386.rpm	3dc1a74e7dd8ce755e60887ac4fd73cc
freeradius-unixODBC-1.0.1-3.RHEL4.i386.rpm	eab011f77b2bce24d42e5608abcea1ed
IA-64:
freeradius-1.0.1-3.RHEL4.ia64.rpm	0eac053fe887cd2f8c805badd511b91e
freeradius-mysql-1.0.1-3.RHEL4.ia64.rpm	de0ccf2e0a508eba3062bfdd5b222835
freeradius-postgresql-1.0.1-3.RHEL4.ia64.rpm	0de26700a43c17adeec0498db847a5bc
freeradius-unixODBC-1.0.1-3.RHEL4.ia64.rpm	bcc8c5f0ea86f06cbb8f182e0b2e427f
PPC:
freeradius-1.0.1-3.RHEL4.ppc.rpm	0bdd63fef27bd242ed17f48598e25194
freeradius-mysql-1.0.1-3.RHEL4.ppc.rpm	68eadec552a9d1f1ec5bd15b90f91b3a
freeradius-postgresql-1.0.1-3.RHEL4.ppc.rpm	8be58c952be576172e7f5c50908a3fde
freeradius-unixODBC-1.0.1-3.RHEL4.ppc.rpm	76013d354aa7ad542685dc72d62edde5
s390:
freeradius-1.0.1-3.RHEL4.s390.rpm	d42b57021c61dbfea75314cf7a947f8b
freeradius-mysql-1.0.1-3.RHEL4.s390.rpm	0a86a8b88be9aff82f04ea734b1e43eb
freeradius-postgresql-1.0.1-3.RHEL4.s390.rpm	cdf1a574f93ade40e99e086f28c81b14
freeradius-unixODBC-1.0.1-3.RHEL4.s390.rpm	8441481b5543541d5aae8a3d7bd896cc
s390x:
freeradius-1.0.1-3.RHEL4.s390x.rpm	67feac31092680e592c0c0ed7e31ee0c
freeradius-mysql-1.0.1-3.RHEL4.s390x.rpm	a369980828701e0694200269c6fd8777
freeradius-postgresql-1.0.1-3.RHEL4.s390x.rpm	5d43a5e4ea7b32c74c9b5488172781f7
freeradius-unixODBC-1.0.1-3.RHEL4.s390x.rpm	19d3425135a11bfe28fcf09438d298f6
x86_64:
freeradius-1.0.1-3.RHEL4.x86_64.rpm	216dcc841b3ef864f866d0536d2e4769
freeradius-mysql-1.0.1-3.RHEL4.x86_64.rpm	3a709b00d74cd9e89f1bf1d82f0874a4
freeradius-postgresql-1.0.1-3.RHEL4.x86_64.rpm	a41378ac35d1b3ab52b9f0217812aef2
freeradius-unixODBC-1.0.1-3.RHEL4.x86_64.rpm	422c04328234167649bb811f882cb774
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
freeradius-1.0.1-1.1.RHEL3.src.rpm	1fd359fe09899c240dd58c6b1cba38b7
IA-32:
freeradius-1.0.1-1.1.RHEL3.i386.rpm	8fd519d93b3871849933b28f7e1bc2d9
IA-64:
freeradius-1.0.1-1.1.RHEL3.ia64.rpm	5442a3527c92a8d07d08acd77dace190
x86_64:
freeradius-1.0.1-1.1.RHEL3.x86_64.rpm	4b1d9482db8d45cb79e6c522e72cb25a
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
freeradius-1.0.1-3.RHEL4.src.rpm	454ecaca99cdbbbd70d31b72aae7e682
IA-32:
freeradius-1.0.1-3.RHEL4.i386.rpm	ff75a31027509f376c3706efaeb10305
freeradius-mysql-1.0.1-3.RHEL4.i386.rpm	ff28f13e57713e277a74b789969bc583
freeradius-postgresql-1.0.1-3.RHEL4.i386.rpm	3dc1a74e7dd8ce755e60887ac4fd73cc
freeradius-unixODBC-1.0.1-3.RHEL4.i386.rpm	eab011f77b2bce24d42e5608abcea1ed
IA-64:
freeradius-1.0.1-3.RHEL4.ia64.rpm	0eac053fe887cd2f8c805badd511b91e
freeradius-mysql-1.0.1-3.RHEL4.ia64.rpm	de0ccf2e0a508eba3062bfdd5b222835
freeradius-postgresql-1.0.1-3.RHEL4.ia64.rpm	0de26700a43c17adeec0498db847a5bc
freeradius-unixODBC-1.0.1-3.RHEL4.ia64.rpm	bcc8c5f0ea86f06cbb8f182e0b2e427f
x86_64:
freeradius-1.0.1-3.RHEL4.x86_64.rpm	216dcc841b3ef864f866d0536d2e4769
freeradius-mysql-1.0.1-3.RHEL4.x86_64.rpm	3a709b00d74cd9e89f1bf1d82f0874a4
freeradius-postgresql-1.0.1-3.RHEL4.x86_64.rpm	a41378ac35d1b3ab52b9f0217812aef2
freeradius-unixODBC-1.0.1-3.RHEL4.x86_64.rpm	422c04328234167649bb811f882cb774
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください：

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

156941 - CAN-2005-1454 Multiple issues in freeradius (CAN-2005-1455)

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1454
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1455

---

ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。

Copyright © 2008 Red Hat, Inc. All rights reserved.  
プライバシー ステートメント :  リーガル ステートメント/利用条件 :  特許に関する見解と約束 :  各種お問い合わせ