FreeRADIUS 信息泄露漏洞

CVE编号

CVE-2019-13456

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-12-04

漏洞描述

FreeRADIUS是FreeRADIUS Server项目的一套实现了RADIUS协议的软件。该软件主要用于账户认证管理、记账管理和上网账户管理等。 FreeRADIUS 3.0版本至3.0.19版本中的EAP-pwd存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
https://www.wi-fi.org/

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00039.html
https://bugzilla.redhat.com/show_bug.cgi?id=1737663
https://freeradius.org/security/
https://github.com/FreeRADIUS/freeradius-server/commit/3ea2a5a026e73d81cd9a3e...
https://wpa3.mathyvanhoef.com

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	freeradius	freeradius	*	From (including) 3.0.0	Up to (including) 3.0.19
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	freeradius	*		Up to (excluding) 3.0.13-15.1.al7
	运行在以下环境
	系统	amazon_2	freeradius	*		Up to (excluding) 3.0.13-15.amzn2
	运行在以下环境
	系统	centos_8	freeradius	*		Up to (excluding) 3.0.17-7.module+el8.2.0+4847+336970e8
	运行在以下环境
	系统	debian_10	freeradius	*		Up to (excluding) 3.0.17+dfsg-1.1
	运行在以下环境
	系统	debian_9	freeradius	*		Up to (excluding) 3.0.12+dfsg-5+deb9u1
	运行在以下环境
	系统	fedora_30	freeradius	*		Up to (excluding) 3.0.20-1.fc30
	运行在以下环境
	系统	fedora_31	freeradius	*		Up to (excluding) 3.0.20-1.fc31
	运行在以下环境
	系统	opensuse_Leap_15.1	freeradius	*		Up to (excluding) 3.0.16-lp151.4.4.1
	运行在以下环境
	系统	oracle_7	freeradius	*		Up to (excluding) 3.0.13-15.el7
	运行在以下环境
	系统	oracle_8	freeradius	*		Up to (excluding) 3.0.17-7.module+el8.2.0+5505+9f97be83
	运行在以下环境
	系统	redhat_8	freeradius	*		Up to (excluding) 3.0.17-7.module+el8.2.0+4847+336970e8
	运行在以下环境
	系统	suse_12_SP4	freeradius	*		Up to (excluding) 3.0.15-2.14.1
	运行在以下环境
	系统	suse_12_SP5	freeradius	*		Up to (excluding) 3.0.19-3.3.1
查看完整数据

阿里云评分 2.9

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-200 信息暴露 CWE-203 通过差异性导致的信息暴露