JVNDB-2025-000017

[English]
JVNDB-2025-000017
hostapdにおけるRADIUSパケットの不適切な処理
概要
Jouni Malinenが提供するhostapdには、RADIUSパケットの取り扱いに不適切な部分があり（CWE-826）、中間者攻撃によりRADIUS認証を強制的に失敗させられる可能性があります。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：株式会社インターネットイニシアティブ草場健氏
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 3.7 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 低
影響を受けるシステム

Jouni Malinen hostapd バージョン2.11およびそれ以前

想定される影響
接続するwi-fiデバイスに対してRADIUS認証を行う構成でhostapdを運用している場合、hostapdとRADIUSサーバーとの間に位置する攻撃者が細工したRADIUSパケットをhostapdに送信することで、RADIUS認証を強制的に失敗させられる可能性があります。
対策
[パッチを適用する] 開発者は本脆弱性に対応したパッチを提供しています。 [ベンダ情報]に記載されているパッチをすべて適用してください。
ベンダ情報
Jouni Malinen Jouni Malinen : hostapd: IEEE 802.11 AP, IEEE 802.1X/WPA/WPA2/WPA3/EAP/RADIUS Authenticator Jouni Malinen : RADIUS: Drop pending request only when accepting the response - hostap - hostapd/wpa_supplicant Jouni Malinen : RADIUS: Fix pending request dropping - hostap - hostapd/wpa_supplicant
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2025-24912
参考情報
JVN : JVN#19358384
更新履歴
[2025年03月12日] 掲載


公表日	2025/03/12
登録日	2025/03/12
最終更新日	2025/03/12

hostapdにおけるRADIUSパケットの不適切な処理