Aktuella versioner av l2tpd, ett tunnlande klient/serverprogram i andra lagret, glömde att initiera slumptalsgeneratorn, vilket gjorde den sårbar eftersom samtliga genererade slumptal kunde gissas med hundra procents säkerhet. Vid hantering av storleken av värdet i ett attribut-/värdepar kunde för många byte kopieras, vilket gjorde att fältet ”vendor” blev överskrivet.
Dessa problem har rättats i version 0.67-1.1 för den aktuella stabila utgåvan (Woody) samt i version 0.68-1 för den instabila utgåvan (Sid). Den gamla stabila utgåvan (Potato) påverkas ej, efter eftersom den inte innehåller l2tpd-paketet.
Vi rekommenderar att ni uppgraderar era l2tpd-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.