MiracleLinux 4freeradius-2.2.6-4.AXS4AXSA:2015-304:01
critical Nessus プラグイン ID 289369
Language:
概要
リモートのMiracleLinuxホストにセキュリティ更新プログラムがありません。説明
リモートのMiracleLinux 4ホストには、AXSA:2015-304:01アドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。FreeRADIUS Server Project は、高性能で高度に構成可能な GPL の Free RADIUS サーバーです。このサーバーは、一部の点で Livingston の 2.0 サーバーに類似しています。FreeRADIUS は Cistron RADIUS サーバーの変種として開始されましたが、今後は多くの共通点を共有しません。現在は、Cistron や Livingston よりも多くの機能が追加され、設定可能になっています。
FreeRADIUS は、RFC 2865およびその他で定義されているように、RADIUS プロトコルを実装するインターネット認証デーモンです。これにより、Network Access Server (NAS ボックス) がダイアルアップユーザーの認証を実行できます。また、Web サーバー、ファイアウォール、Unix ログインなどで使用できる RADIUS クライアントもあります。RADIUS を使用することで、ネットワークの認証と承認を一元化でき、新しいユーザーを追加または削除する際に必要な再設定の量を最小限に抑えます。
このリリースで修正されたセキュリティ問題
CVE-2014-2015 修正されたバグ
* 辞書の数が更新されました。
* この更新では、いくつかの Extensible Authentication Protocol(EAP)の改善が実装されます。
* 多くの新しい拡張が追加されました。これには、 %{randstr:...}、 %{hex:...}、 %{sha1:...}、 %{base64:...}、 %{tobase64:...}、 %{base64tohex:...}が含まれます。
* 16 進数0x...が %{expr:...} 拡張で現在サポートされています。
* この更新では、rlm_python モジュールにオペレーターサポートを追加します。
* Dynamic Host Configuration Protocol(DHCP)および DHCP リレーコードはファイナライズされています。
* この更新は、任意の属性をキャッシュするための rlm_cache モジュールを追加します。
* /var/log/radius/radutmp ファイルは、これが不要であるにもかかわらず 1 か月間隔でローテーションするように構成されました。この更新により、説明された問題が修正されました。
* radiusd サービスは、raddebug ユーティリティによって作成された出力ファイルを書き込むことができません。raddebug ユーティリティは、出力ファイルに対して適切な所有権を設定するようになりました。これにより、radiusd は出力を書き込むことが可能です。
* raddebug -t 0 コマンドを使用して raddebug を起動した後、raddebug が即座に終了しました。特殊な場合の比較の誤字が修正され、この状況で raddebug は 11.5 日間実行するようになりました。
* User-Name と MS-CHAP-User-Name 属性が異なるエンコーディングを使用したとき、ユーザーが正しい認証情報を提供したとしても、MS-CHAP 認証が失敗しました。この更新により、この状況で正しい認証情報による認証が失敗しなくなります。
* 自動生成されるデフォルトの証明書が、SHA-1 アルゴリズムメッセージダイジェストを使用しました。これは、危険だと考えられています。デフォルトの証明書は、より安全な SHA-256 アルゴリズムメッセージダイジェストを使用するようになりました。
* Online Certificate Status Protocol(OCSP)の検証中、 radiusd は、OCSP レスポンダーによって提供されていない次の更新フィールドへのアクセスを試みた後、セグメンテーション違反で不意に終了しました。この更新により、この問題が修正されます。
* 以前は、radiusd が最近の MikroTIK 属性の一部との連携に失敗していました。インストールされた directory.mikrotik ファイルにこれが含まれていなかったためです。この更新により、このバグが修正されました。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるfreeradiusパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 289369
ファイル名: miracle_linux_AXSA-2015-304.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2014-2015
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:freeradius, cpe:/o:miracle:linux:4
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2015/8/11
脆弱性公開日: 2014/2/17
参照情報
CVE: CVE-2014-2015