SunOS Cisco CHAP 인증 취약점과 대책

Security Notice

SunOS Cisco CHAP 인증 취약점과 대책

설명

  • 이 취약성을 이용하여 침입자들이 CHAP 인증을 회피할 수 있다.
  • CHAP 인증은 PPP를 통해서 사용자가 접속할 때, 사용자의 패스워드를 서버에서 생성한 random key로 암호화하여 네트워크를 통해 서버로 전달한다. 서버에서는 데이터베이스에서 그 사용자의 패스워드를 찾아서, 동일한random key로 암호화하여 전송된 패스워드와 암호화한 패스워드를 비교한다. 따라서, 매번 random key가 변경되기 때문에 동일한 암호가 발생하지 않는다.
  • Release 9.1(1)에서 CHAP 지원을 도입한 이후의 Cisco IOS 10.3, Cisco IOS 11.0, Cisco IOS 11.1(14)CA, 11.1, Cisco IOS 11.2 소프트웨어 버전들은 PPP CHAP 인증에 관한 심각한 취약점을 가지고 있다.
  • 이 취약성을 이용하여 침입자들이 시스템에 허가되지 않은 PPP 연결을 할 수 있다.

해결책

  • 패치는 아래와 같다.
    Major First Repaired Recommended Maintenance Release
    Release Maintenance Release For Instrallation
    Cisco IOS
    10.3 10.3(19a) 10.3(19a)
    Cisco IOS
    11.0 11.0(17), 11.0(17)BT 11.0(17), 11.0(17)BT
    Cisco IOS
    11.1.(14)CA, 11.1(13), 11.1(13)AA 11.1(14), 11.1(14)AA
    11.1
    Cisco IOS 11.2(8), 11.2(8)P, 11.2(8), 11.2(8)P, 11.2(4)F1.
    11.2 11.2(4)F1, (replaces 11.2(9) not recommended for CHAP
    11.2(4)F) users
0 변경된 사항