重要な脆弱性情報 日付とソース 日付: 2013年2月21日 送信者: Vincent Danen 受信者: OSS-Security mailing list 件名: Python-PyRADのCVE要求および不安全な問題について 脆弱性の説明 問題1: - および 関数において Python の が使用されており、生成される擬似乱数データの安全性が不十分になる可能性があります。 - 機能は で実装されています。 - リンク: GitHub コミット 問題2: - 関数で生成される直列化された RADIUS パケット ID は、RADIUS RFC で ID が予測不能であることを要求している規定に違反しており、偽造のリスクがあります。 - 機能は で実装されています。 - リンク: GitHub コミット CVE 割当の提案 外部報告者は、問題1と問題2それぞれに CVE-2013-0294 および CVE-2013-0295 を割当てることを提案しました。 Vincent Danen および Red Hat 安全対応チームは、問題が同じコードに起因しており同じバージョンに影響するため、問題1と問題2は統合して単一の CVE-2013-0294 として扱うべきだと確認しました。 修正状況 報告者は、提出されたパッチが1つの問題のみを修正しており、言及されたすべての問題を解決していないことを指摘しました。