[Generic/RADIUS] Zwei Schwachstellen in verschiedenen RADIUS-Implementierungen
(2002-03-06 10:56:24+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2002/03/msg00081.htmlJe eine Schwachstelle wurde in den Routinen zur Berechnung von Hashwerten sowie zur Auswertung hersteller- und benutzerspezifischer Attribute vieler Implementierungen des RADIUS (Remote Authentication Dial In User Service) Protokolls entdeckt. Beide können zu einem Denial of Service-Angriff, ersterer möglicherweise sogar zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden.
Betroffene Systeme
- Schwachstelle in den Routinen zur Berechnung von Hashwerten
- Ascend RADIUS Version 1.16 und früher
- Cistron RADIUS Version 1.6.5 und früher
- FreeRADIUS Version 0.3 und früher
- GnuRADIUS Version 0.95 und früher
- ICRADIUS Version 0.18.1 und früher
- Livingston RADIUS Version 2.1 und früher
- RADIUS (früher Lucent RADIUS) Version 2.1 und früher
- RADIUSClient Version 0.3.1 und früher
- XTRADIUS Version 1.1-pre1 und früher
- YARD RADIUS Version 1.0.19 und früher
- Schwachstelle in den Routinen zur Auswertung herstellerspezifischer Attribute
- Cistron RADIUS Version 1.6.5 und früher
- FreeRADIUS Version 0.3 und früher
- ICRADIUS Version 0.18.1 und früher
- Livingston RADIUS Version 2.1 und früher
- XTRADIUS Version 1.1-pre1 und früher
- YARD RADIUS Version 1.0.19 und früher
Nicht betroffene Systeme
- Cisco IOS, Cisco Catalyst OS, Cisco Secure PIX firewall, Cisco Secure Access Control System für Windows, Cisco Aironet, Cisco Access Registrar sowie Cisco Resource Pooling Management Service.
Nach Angaben von Cisco Systems ist bisher kein Cisco-Produkt, das RADIUS implementiert, als gegen diese Schwachstelle verwundbar bekannt. - Hewlett-Packard: Nach Angaben von HP ist kein HP-Produkt, das RADIUS implementiert, von dieser Schwachstelle betroffen.
- Juniper Networks: Nach Angaben von Juniper Networks ist keines ihrer Produkte, das RADIUS implementiert, als gegen diese Schwachstelle verwundbar bekannt.
- Microsoft IAS: Nach Angaben von Microsoft sind aktuelle Versionen von Microsoft IAS nicht verwundbar.
- Wind River Systems WindNet RADIUS 1.1
- Cisco IOS, Cisco Catalyst OS, Cisco Secure PIX firewall, Cisco Secure Access Control System für Windows, Cisco Aironet, Cisco Access Registrar sowie Cisco Resource Pooling Management Service.
- Cisco IOS, Cisco Catalyst OS, Cisco Secure PIX firewall, Cisco Secure Access Control System für Windows, Cisco Aironet, Cisco Access Registrar sowie Cisco Resource Pooling Management Service.
Nach Angaben von Cisco Systems ist bisher kein Cisco-Produkt, das RADIUS implementiert, als gegen diese Schwachstelle verwundbar bekannt. - Hewlett-Packard: Nach Angaben von HP ist kein HP-Produkt, das RADIUS implementiert, von dieser Schwachstelle betroffen.
- Juniper Networks: Nach Angaben von Juniper Networks ist keines ihrer Produkte, das RADIUS implementiert, als gegen diese Schwachstelle verwundbar bekannt.
- Microsoft IAS, Nach Angaben von Microsoft sind aktuelle Versionen von Microsoft IAS nicht verwundbar.
- RADIUS (früher Lucent RADIUS), Versionen 2.1
- RADIUSClient, aktuelle Versionen
- Wind River Systems WindNet RADIUS 1.1
- Cisco IOS, Cisco Catalyst OS, Cisco Secure PIX firewall, Cisco Secure Access Control System für Windows, Cisco Aironet, Cisco Access Registrar sowie Cisco Resource Pooling Management Service.
Einfallstor
- RADIUS-Paket an Port 1812 (tcp/udp)
- RADIUS-Paket mit Vendor-Specific-Attributen an Port 1812 (tcp/udp)
Auswirkung
- Nichtverfügbarkeit des RADIUS-Dienstes (Denial of Service),
möglicherweise Kompromittierung des beherbergenden Rechner Systems (remote root compromise) - Nichtverfügbarkeit des RADIUS-Dienstes (Denial of Service)
Typ der Verwundbarkeit
- buffer overflow bug
- Programmierfehler (fehlerhafte Überprüfung der Länge von Attributen)
Gefahrenpotential
- mittel bis sehr hoch
- mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)
Kontext
RADIUS (Remote Authentication Dial In User Service) ist ein Protokoll zur Authentifizierung, Autorisierung und Abrechnung (Accounting) von Wählverbindungen.
Transaktionen zwischen RADIUS-Klient und RADIUS-Server werden mittels eines gemeinsamen Geheimnisses (shared secret) authentifiziert, das per Definition niemals über das Netzwerk verschickt wird. Daten zur Benutzerauthentifizierung (z. B. Paßwörter) werden verschlüsselt übertragen.
Zur Authentifizierung von Hosts beim Austausch von Paketen wird jeweils ein MD5-Hash eines empfangenen Paketes konkateniert mit dem gemeinsamen Geheimnis und ggf. weiteren Attributen berechnet. Eine detaillierte Beschreibung der verschiedenen Authentifzierungsmodi ist in RfC 2138 und verwandten Dokumenten nachzulesen.
Verschiedene RADIUS-Implementierungen unterstützen die Übertragung herstellerspezifischer Attribute (sog. Vendor-Specific-Attribute) zur Erweiterung des Protokolls um herstellerspezifische Eigenschaften. Diese Eigenschaften dürfen das RADIUS-Protokoll per Definition nicht beeinträchtigen.
Beschreibung
- Bei der Berechnung des MD5-Hashwertes während einer Authentifizierungsprozedur wird das Konkatenat des empfangenen Paketes und des gemeinsamen Geheimnisses der kommunizierenden Parteien in einen Puffer geschriebenen ohne die Länge der zu speichernden Daten zu prüfen. Dies kann dazu führen, daß Daten des gemeinsamen Geheimnisses in einen Speicherbereich jenseits des Puffers geschrieben werden.
Dieser Umstand kann dazu führen, den Server in einen unbenutzbaren Zustand zu überführen (Denial of Service).
Ein Angreifer der im Besitz des gemeinsamen Gehemnisses ist (z. B. durch Kontrolle über einen Host, der legal an der Kommunikation teilnimmt), kann diesen Umstand dazu ausnutzen, beliebigen Programmcode mit den Privilegien des RADIUS-Servers auszuführen. Üblicherweise läuft dieser unter der UID=0 (root), so daß ein solchermaßen erfolgreicher Angriff zur Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung führt (remote root compromise).
Diese Schwachstelle ist von CERT/CC in VU#589523 beschrieben.
-
In den Routinen zur Auswertung der Vendor-Specific-Attribute ist ein Fehler enthalten, der dazu führt, daß das
Vendor-Length-Feld nicht korrekt ausgewertet bzw. nicht auf nicht-plausible Werte überprüft wird. Bei einem Wert kleiner zwei wird die Attributlänge als negativer Wert interpretiert. Bei der Wieterverwendung dieses negativen Wertes kann der Server in einen unbenutzbaren Zustand geraten (Denial of Service).Möglicherweise verwenden einige Implementierungen die fehlerhafte Funktion zur Auswertung der Vendor-Specific-Attribute auf zur Auswertung von benutzerspezifischen Attributen (User-Specific), so daß auch solchermaßen mit nicht-plausiblen Werten gefüllte Pakete den Server in einen unbenutzbaren Zustand überführen können.
Diese Schwachstelle ist von CERT/CC in VU#936683 beschrieben.
Gegenmaßnahmen
Installation der entsprechenden Herstellerpatches, bzw. einer nichtverwundbaren Version der entsprechenden RADIUS-Implementierung.
- Ascend RADIUS: bisher liegt keine Reaktion vor
- Cistron RADIUS: Istallation von Version 1.6.6
- FreeRADIUS: bisher liegt keine Reaktion vor
- GnuRADIUS: Installation von Version 0.96
- ICRADIUS: bisher liegt keine Reaktion vor
- Livingston RADIUS: bisher liegt keine Reaktion vor
- RADIUS (früher Lucent RADIUS) Version 2.1 und früher: Installation des Patches radius-2.1.digest.patch
- RADIUSClient: Installation von Version 0.3.2
- XTRADIUS: Installation von Version 1.2.1, sobald verfügbar.
- YARD RADIUS: Installation von Version 1.0.20, sobald verfügbar.
Vulnerability ID
Weitere Information zu diesem Thema
- CERT® Advisory CA-2002-06 Vulnerabilities in Various Implementations of the RADIUS Protocol
- DoS Attack against many RADIUS servers
- An Analysis of the RADIUS Authentication Protocol
- RfC 2138 Remote Authentication Dial In User Service (RADIUS)
Weitere Artikel zu diesem Thema:
- [Generic/RADIUS] Remote buffer overflow in RADIUS Implementierungen (2001-07-09)
Durch eine Schwachstelle in zwei verbreiteten Remote Authentication Dial-In User Server (RADIUS) Implementierungen ist die Ausführung von beliebigem Programmcode über das Netz möglich.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=729