Apache mod_auth_radius bis 1.5.7 RADIUS_ACCESS_CHALLENGE Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.0$0-$5k0.00

Apache ist ein populärer, freier open-source Webserver, der für viele verschiedene Plattformen erhältlich ist. Das für RADIUS-Authentisierungen zuständige Modul mod_auth_radius ist bis 1.5.7 gegen eine Denial of Service-Attacke bei RADIUS_ACCESS_CHALLENGE verwundbar. Zusammen mit dem Advisory wurde ein proof-of-concept Exploit publiziert. Zur Zeit ist keine Lösung bekannt. Als Workaround wird empfohlen, bis auf das Erscheinen eines Patches oder einer neuen Software-Version auf das Nutzen des betroffenen Moduls zu verzichten. Die Schwachstellen 907 und 1095 sind ähnlich.

Authentisierungs-Schwachstellen sind immer sehr gefährlich. Das Nutzen von mod_auth_radius in Apache ist jedoch nicht so populär, dass von dieser Schwachstelle ein enormes Sicherheitsrisiko ausgeht. In betroffenen Umgebungen sollte die Sache jedoch im Auge behalten werden.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Support

  • end of life (old version)

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.0

VulDB Base Score: 5.3
VulDB Temp Score: 5.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-404
ATT&CK: T1499

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Disable
Status: 🔍

0-Day Time: 🔍

Patch: freeradius.org

Timelineinfo

10.01.2005 🔍
17.01.2005 +7 Tage 🔍
16.04.2019 +5202 Tage 🔍

Quelleninfo

Hersteller: apache.org

Advisory: security.lss.hr
Person: Leon Juranic
Firma: LSS
Status: Nicht definiert
SecuriTeam: securiteam.com

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 17.01.2005 15:58
Aktualisierung: 16.04.2019 15:10
Anpassungen: 17.01.2005 15:58 (54), 16.04.2019 15:10 (2)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you need the next level of professionalism?

Upgrade your account now!