首页 -> 安全研究

安全研究

安全漏洞
FreeRADIUS 'Ascend-Send-Secret'远程拒绝服务漏洞

发布日期:2004-09-20
更新日期:2004-09-22

受影响系统:
FreeRADIUS FreeRADIUS 1.0
FreeRADIUS FreeRADIUS 0.9.3
FreeRADIUS FreeRADIUS 0.9.2
FreeRADIUS FreeRADIUS 0.9.1
FreeRADIUS FreeRADIUS 0.9
描述:
BUGTRAQ  ID: 11222
CVE(CAN) ID: CVE-2004-0938

FreeRadius是一款开放源代码使用RADIUS协议的验证和帐户系统。

FreeRadius 'Ascend-Send-Secret'处理存在错误,远程攻击者可以利用这个漏洞对服务进行拒绝服务攻击。

FreeRADIUS的'Ascend-Send-Secret'类似Tunnel-Password,需要一"original"包对属性进行解码,问题存在于'radius.c'和'eap_tls.c'中,对Tunnel-Password进行了检查,而对'Ascend-Send-Secret'没有进行任何检查。使用VulnDisco RADIUS工具进行测试可导致程序崩溃。

<*来源:SecurityTracker
  
  链接:http://www.securitytracker.com/alerts/2004/Sep/1011364.html
*>

建议:
厂商补丁:

FreeRADIUS
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载FreeRADIUS 1.0.1:

ftp://ftp.freeradius.org/pub/radius/

浏览次数:2648
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障