学院栏目导航: 业界新闻 网页设计 程序设计 数据库类 网络技术 操作系统 图形图像 办公软件 考试认证 多媒体类 硬件资讯

您的位置:首页-> 资讯中心-> 网络技术-> 黑客天空-> RADIUS 协议实现存在多个严重漏洞

→ 黑客天空
  服务器
网络安全
黑客天空
病毒快报
局域网
网络其他
搜索引擎

广告专栏

本类阅读TOP10
·黑客常用命令之telnet命令
·黑客入门级菜鸟必修教程
·经典黑客软件大奉送
·黑客:SQL服务器入侵实战演习
·黑客帝国数字流特效制作揭密
·黑客入侵所需要的几个常用命令
·底层:Windows黑客编程基础
·通用手工查杀木马的方法
·黑客工具轻易窥视QQ聊天记录
·黑客知识之木马攻击教程
RADIUS 协议实现存在多个严重漏洞

来源:未知 发表时间:2004-11-14 【ovo.com.cn

涉及程序:
RADIUS

描述:
CERT 安全公告 CA-2002-06: RADIUS 协议实现存在多个严重漏洞

详细:
Remote Authentication Dial In User Service (RADIUS) 服务器能用来验证、
授权、审核使用 RADIUS 协议的终端。但是发现 RADIUS 协议实现存在严重漏洞
,利用这些漏洞,远程攻击者可能发动拒绝服务攻击或在受影响系统上执行任意
代码。
VU#589523 

在计算消息摘要 ( message digests ) 时,shared secret 数据可能导致
RADIUS 缓冲区溢出漏洞。这可能导致服务器拒绝服务。如果攻击者知道 shared
secret,将可能在受影响服务器上以管理员权限执行任意指令,而 shared
secret 并不难获得。

Systems Affected by VU#589523

* Ascend RADIUS versions 1.16 and prior
* Cistron RADIUS versions 1.6.4 and prior
* FreeRADIUS versions 0.3 and prior
* GnuRADIUS versions 0.95 and prior
* ICRADIUS versions 0.18.1 and prior
* Livingston RADIUS versions 2.1 and earlier
* RADIUS (commonly known as Lucent RADIUS) versions 2.1 and prior
* RADIUSClient versions 0.3.1 and prior
* YARD RADIUS 1.0.19 and prior
* XTRADIUS 1.1-pre1 and prior

VU#936683

RADIUS 服务器和客户端允许传递供应商指定或用户指定的属性,但是它们没有验
证供应商指定属性的长度。该长度不应该小于2,如果小于2,RADIUS 服务器或客
户端会将该属性长度作为负数看待,而该属性长度会被各种函数用到。攻击者利
用该漏洞,可能导致受影响系统拒绝服务。

Systems Affected by VU#936683

* Cistron RADIUS versions 1.6.5 and prior
* FreeRADIUS versions 0.3 and prior
* ICRADIUS versions 0.18.1 and prior
* Livingston RADIUS versions 2.1 and earlier
* YARD RADIUS 1.0.19 and prior
* XTRADIUS 1.1-pre1 and prior

受影响系统:

运行任何 RADIUS 应用的系统

* Ascend RADIUS versions 1.16 and prior
* Cistron RADIUS versions 1.6.5 and prior
* FreeRADIUS versions 0.3 and prior
* GnuRADIUS versions 0.95 and prior
* ICRADIUS versions 0.18.1 and prior
* Livingston RADIUS versions 2.1 and earlier
* RADIUS (previously known as Lucent RADIUS) versions 2.1 and prior
* RADIUSClient versions 0.3.1 and prior
* XTRADIUS 1.1-pre1 and prior
* YARD RADIUS 1.0.19 and prior

相关资源:http://www.cert.org/advisories/CA-2002-06.html

解决方案:
打上补丁或采用升级版本,或使用防火墙限制对 RADIUS 的访问

各供应商信息:

APPLE:
Mac OS X and Mac OS X Server -- 无RADIUS,不受影响

CISCO
CISCO 确认下面的产品不受影响:Cisco IOS, Cisco Catalyst OS, Cisco
Secure PIX firewall, Cisco Secure Access Control System for Windows,
Cisco Aironet, Cisco Access Registrar, and Cisco Resource Pooling
Management Service

Cistron
建议用户升级到 1.6.6 http://www.radius.cistron.nl/

FreeBSD
Fujitsu
HP
IBM
Juniper Networks
Microsoft
不受影响

GnuRADIUS
0.96 版本不受影响 http://www.gnu.org/software/radius/radius.html

NetBSD
某些版本受影响,建议用户使用最新版本 http://www.netbsd.org

RADIUS (previously known as Lucent RADIUS)
Lucent Radius 2.1 受 VU#589523 影响,非正式补丁可到:
ftp://ftp.vergenet.net/pub/radius/

RADIUSClient
安装补丁:ftp://ftp.cityline.net/pub/radiusclient/radiusclient-0.3.2.tar.gz

Red Hat
SCO
SGI
无 RADIUS,不受影响

XTRADIUS
受影响,升级版本正处于测试之中

YARD RADIUS
受影响,尚未开发出新版本


※相关文章:

※相关软件: