ALT-PU-2025-9144-3

Обновление пакета freeradius в ветке c10f2

Версия3.2.7-alt1

Задание#389400

Опубликовано2025-07-12

Макс. серьёзностьCRITICAL

Серьёзность:

Закрытые проблемы (4)

HIGH7.5

Уязвимость реализации протокола аутентификации RADIUS связана с обходом процедуры аутентификации посредством захвата-воспроизведения (capture-replay) перехваченных сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ путём подделки аутентификационного ответа

Опубликовано: 2024-07-11Изменено: 2025-11-19

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:A/AC:H/Au:N/C:C/I:C/A:C

Ссылки

CVE-2024-3596

HIGH7.5

In freeradius, when an EAP-SIM supplicant sends an unknown SIM option, the server will try to look that option up in the internal dictionaries. This lookup will fail, but the SIM code will not check for that failure. Instead, it will dereference a NULL pointer, and cause the server to crash.

Опубликовано: 2023-01-17Изменено: 2025-11-03

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

MEDIUM6.5

A flaw was found in freeradius. A malicious RADIUS client or home server can send a malformed abinary attribute which can cause the server to crash.

Опубликовано: 2023-01-17Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Ссылки

CRITICAL9.0

RADIUS Protocol under RFC 2865 is susceptible to forgery attacks by a local attacker who can modify any valid Response (Access-Accept, Access-Reject, or Access-Challenge) to any other response using a chosen-prefix collision attack against MD5 Response Authenticator signature.

Опубликовано: 2024-07-09Изменено: 2025-11-04

CVSS 3.xКРИТИЧЕСКАЯ 9.0

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Ссылки