漏洞信息详情
FreeRADIUS 'Ascend-Send-Secret'远程拒绝服务漏洞
- CNNVD编号:CNNVD-200411-034 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2004-0938
- 漏洞类型: 其他
- 发布时间: 2004-09-20
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: freeradius
- 漏洞来源: SecurityTracker
-
漏洞简介
FreeRadius是FreeRADIUS Server项目的一套实现了RADIUS协议的软件。该软件主要用于账户认证管理、记账管理和上网账户管理等,并包含有一个Radius服务器、一个BSD协议授权的客户端库、一个PAM库和一个Apache模块。 FreeRadius \'\'Ascend-Send-Secret\'\'处理存在错误,远程攻击者可以利用这个漏洞对服务进行拒绝服务攻击。 FreeRADIUS的\'\'Ascend-Send-Secret\'\'类似Tunnel-Password,需要一\"original\"包对属性进行解码,问题存在于\'\'radius.c\'\'和\'\'eap_tls.c\'\'中,对Tunnel-Password进行了检查,而对\'\'Ascend-Send-Secret\'\'没有进行任何检查。使用VulnDisco RADIUS工具进行测试可导致程序崩溃。
漏洞公告
厂商补丁: FreeRADIUS ---------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载FreeRADIUS 1.0.1:
ftp://ftp.freeradius.org/pub/radius/
参考网址
来源:US-CERT Vulnerability Note: VU#541574 名称: VU#541574 链接:http://www.kb.cert.org/vuls/id/541574 来源: XF 名称: freeradius-dos(17440) 链接:http://xforce.iss.net/xforce/xfdb/17440 来源: BID 名称: 11222 链接:http://www.securityfocus.com/bid/11222 来源: OSVDB 名称: 10178 链接:http://www.osvdb.org/10178 来源: GENTOO 名称: GLSA-200409-29 链接:http://security.gentoo.org/glsa/glsa-200409-29.xml 来源: OVAL 名称: oval:org.mitre.oval:def:10837 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:10837 来源: US Government Resource: oval:org.mitre.oval:def:1347 名称: oval:org.mitre.oval:def:1347 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:1347
受影响实体
- Freeradius Freeradius:1.0.1<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...