漏洞信息详情
Radsecproxy 权限许可和访问控制漏洞
- CNNVD编号:CNNVD-201210-533
- 危害等级: 中危
- CVE编号: CVE-2012-4523
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2012-10-18
- 威胁类型: 远程
- 更新时间: 2021-11-30
- 厂 商:
- 漏洞来源:
漏洞简介
Radsecproxy是一个通用的 RADIUS 代理,支持 UDP 和 TLS (RadSec) RADIUS 传输。
radsecproxy 1.6.1之前的版本中存在权限许可和访问控制漏洞,该漏洞源于当配置块以被用于验证证书链的块无关的CA设置时,没有正确验证证书。远程攻击者利用该漏洞绕过目地访问限制并欺骗客户端。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.nordu.net/?p=radsecproxy.git
参考网址
来源: project.nordu.net
链接:https://project.nordu.net/browse/RADSECPROXY-43
来源: MLIST
名称: [radsecproxy] 20120917 Radsecproxy 1.6.1 is out
链接:https://postlister.uninett.no/sympa/arc/radsecproxy/2012-09/msg00006.HTML
来源: MLIST
名称: [radsecproxy] 20120913 Radsecproxy is mixing up pre- and post-TLS-handshake client verification
链接:https://postlister.uninett.no/sympa/arc/radsecproxy/2012-09/msg00001.HTML
来源: MLIST
名称: [oss-security] 20121031 Re: Re: CVE request: radsecproxy incorrect x.509 certificate validation
链接:http://www.openwall.com/lists/oss-security/2012/10/31/6
来源: MLIST
名称: [oss-security] 20121017 CVE request: radsecproxy incorrect x.509 certificate validation
链接:http://www.openwall.com/lists/oss-security/2012/10/17/7
来源: DEBIAN
名称: DSA-2573
链接:http://www.debian.org/security/2012/dsa-2573
来源: SECUNIA
名称: 51251
链接:http://secunia.com/advisories/51251
来源:SECUNIA
名称:50925
链接:http://secunia.com/advisories/50925
受影响实体
暂无
补丁
- Radsecproxy 权限许可和访问控制漏洞的修复措施
评论