Giftspritze für GNU Radius
Durch ungefilterte Nutzereingaben kann ein Angreifer übers Netz Befehle in den Radius-Server einschleusen und ausführen.
Wie iDefense meldet, filtert der Authentifizierungsdienst GNU Radius Anwendereingaben nicht ausreichend, sodass Angreifer SQL-Befehle einschleusen können. Über diese können sie im Kontext des Dienstes radiusd -- meist also als Root-User -- auf dem Server beliebige Systembefehle ausführen. Betroffen sind die Versionen 1.2 und 1.3 und vermutlich ältere, sofern das Accounting in einer SQL-Datenbank aktiviert ist, was laut der Sicherheitsnotiz bei den getesteten FreeBSD- und Gentoo-Systemen der Fall war.
Der Fehler steckt im Code für die Buchführung in einer SQL-Datenbank, der der Funktion sqllog einen ungeprüften Paramter übergibt. Die Entwickler stellen Version 1.4 bereit, die den Fehler nicht mehr enthält, aber auch einige andere Veränderungen mit sich bringt.
Siehe dazu auch:
- GNU Radius Format String Vulnerability, Sicherheitsnotiz von iDefense
- Giftspritze, SQL-Injection - Angriff und Abwehr, Hintergrundartikel auf heise Security
(ju)