asg
push it, don´t hype
Security Alert
Durch einen Fehler in der RADIUS-Authentifizierung unter OpenBSD (login_radius) ist es einem Angreifer möglich (unter best. Umständen) die Authentifizierung zu umgehen und sich somit am System anzumelden.
Dabei muss die Antwort des im Netzwerk vorhandenen RADIUS-Server gespoofed werden.
Radius ist per default aber nicht aktiviert.
Security Advisory:
http://lists.netsys.com/pipermail/full-disclosure/2004-September/026710.html
Betroffene Systeme:
OpenBSD bis einschl. 3.5
Patch 3.4
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/031_radius.patch
Patch 3.5
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.5/common/020_radius. patch
Durch einen Fehler in der RADIUS-Authentifizierung unter OpenBSD (login_radius) ist es einem Angreifer möglich (unter best. Umständen) die Authentifizierung zu umgehen und sich somit am System anzumelden.
Dabei muss die Antwort des im Netzwerk vorhandenen RADIUS-Server gespoofed werden.
Radius ist per default aber nicht aktiviert.
Security Advisory:
http://lists.netsys.com/pipermail/full-disclosure/2004-September/026710.html
Betroffene Systeme:
OpenBSD bis einschl. 3.5
Patch 3.4
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/031_radius.patch
Patch 3.5
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.5/common/020_radius. patch