Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-416

[Generic/RADIUS] Remote buffer overflow in RADIUS Implementierungen
(2001-07-09 07:16:53+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00090.html

Durch eine Schwachstelle in zwei verbreiteten Remote Authentication Dial-In User Server (RADIUS) Implementierungen ist die Ausführung von beliebigem Programmcode über das Netz möglich.

Betroffene Systeme

  • Merit 3.6b RADIUS (sowie möglicherweise frühere Versionen)
  • Lucent 2.1-2 RADIUS (sowie möglicherweise frühere Versionen)

Einfallstor
RADIUS listener

Auswirkung
Durch die Schwachstelle ist ein denial of service (DoS) Angriff als auch möglicherweise die Ausführung von beliebigen Programmcode mit Superuser-Privilegien über das Netz möglich.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch einen Pufferüberlauf in den Authentifizierungsroutinen der genannten RADIUS Implementierungen ist ein denial of service (DoS) Angriff und die Ausführung von beliebigem Programmcode auf dem RADIUS-Server über das Netz möglich. Da der radiusd (RADIUS listener) mit Superuser-Privilegien läuft, könnte ein Angreifer die Kontrolle über alle Netzwerkdevices des RADIUS-Servers übernehmen und beispielsweise Login- und Passwortinformationen sammeln.

Gegenmaßnahmen

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

  • [Generic/RADIUS] Zwei Schwachstellen in verschiedenen RADIUS-Implementierungen (2002-03-06)
    Je eine Schwachstelle wurde in den Routinen zur Berechnung von Hashwerten sowie zur Auswertung hersteller- und benutzerspezifischer Attribute vieler Implementierungen des RADIUS (Remote Authentication Dial In User Service) Protokolls entdeckt. Beide können zu einem Denial of Service-Angriff, ersterer möglicherweise sogar zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.