关键漏洞信息 日期与来源 日期: 2013年2月21日 发送者: Vincent Danen 收件人: OSS-Security mailing list 主题: 关于Python-PyRAD的CVE请求和不安全问题 漏洞描述 问题1: - 使用Python的random.randrange()在CreateAuthenticator()和CreateID()函数中,可能导致生成的伪随机数据安全性不足。 - 功能在pyrad/packet.py中实现。 - 链接: GitHub commit 问题2: - 在CreateID()函数中生成的序列化RADIUS包ID,违反了RADIUS RFC要求ID不可预测的规定,存在被伪造的风险。 - 功能在pyrad/packet.py中实现。 - 链接: GitHub commit CVE分配建议 外部报告者提议问题1和问题2分别使用CVE-2013-0294和CVE-2013-0295。 Vincent Danen和Red Hat安全响应团队确认问题1和问题2应该合并使用同一个CVE-2013-0294,因为问题来源于同一代码并影响同一版本。 修复状态 报告者指出提交的补丁仅修复了一个问题,并未解决所有提及的问题。