SECUREMATRIX

11753 : XP000403-RADIUS プロトコル脆弱性対応について

メーカ公開情報


掲載日:2024/08/08

対象 Version / OS:

SECUREMATRIX V12~V12.5.2 / Red Hat Enterprise Linux 8.4 (64bit)
SECUREMATRIX V13~V13.0.1 / Red Hat Enterprise Linux 8.8 (64bit)、Red Hat Enterprise Linux 9.2 (64bit)

質問:

Common Vulnerabilities and Exposures (以下、CVE) の脆弱性情報 "CVE-2024-3596"について SECUREMATRIX は該当しますか。

回答:

RADIUS プロトコルの脆弱性 (CVE-2024-3596) に関して、SECUREMATRIX では RADIUS 認証を利用 しており、
RADIUS クライアントと SECUREMATRIX 認証サーバー間で通信を行う際に本脆弱性の影響を受ける可能性があるため対処が必要となります。

対象:

・SECUREMATRIX で RADIUS 認証を利用している場合、SECUREMATRIX 側と RADIUS クライアント側で対処が必要となります。
・SECUREMATRIX がクラスター構成の場合、プライマリー認証サーバー・セカンダリー認証サーバーで対処が必要となります。

下記に SECUREMATRIX の対処手順を記載いたしますので、実施いただけますようお願いいたします。
なお、RADIUS クライアント側の対処については各 SSL-VPN 機器のベンダーに「Message-Authenticator」の
検証方法を確認いただき、対応いただけますようお願いいたします。

対処手順:

1. 認証サーバーに root ユーザーでログイン
2. RADIUS クライアントとの通信時に SECUREMATRIX 認証サーバーからレスポンスする際の RADIUSプロトコルに「Message-Authenticator」を付与する設定を追加いたします。
 
 ① 設定ファイルのバックアップを取得
 
 [認証サーバー]
 # cd /usr/local/etc/raddb/sites-available/
 # /usr/bin/cp -p default default.bk_YYYYMMDD(※1)
 (※1)「YYYYMMDD」は作業年月日
 
② 設定ファイルを編集
 
 [認証サーバー]
 # /usr/bin/vi /usr/local/etc/raddb/sites-available/default
 
③ 285行目あたりの authorize の {} の中に下記を追記して保存
 
 [認証サーバー]
 if (!EAP-Message) {
   update reply {
     Message-Authenticator := 0x00
   }
 }
 
④ smx-radiusd プロセスを再起動する。
 
 [認証サーバー]
 # /usr/bin/systemctl restart smx-radiusd

以上



2024/08/21 15:29:50
2024/08/21 15:29:58