独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月12日、hostapdにおけるRADIUSパケットの不適切な処理について「Japan Vulnerability Notes(JVN)」で発表した。株式会社インターネットイニシアティブの草場健氏が報告を行っている。影響を受けるシステムは以下の通り。
hostapd バージョン2.11およびそれ以前
Jouni Malinenが提供するhostapdにはRADIUSパケットの取り扱いに不適切な部分があり、中間者攻撃によりRADIUS認証を強制的に失敗させられる可能性がある。
想定される影響としては、接続するwi-fiデバイスに対してRADIUS認証を行う構成でhostapdを運用している場合、hostapdとRADIUSサーバとの間に位置する攻撃者が細工したRADIUSパケットをhostapdに送信することで、RADIUS認証を強制的に失敗させられる可能性がある。
Jouni Malinenは本脆弱性に対応したパッチを提供しており、JVNではパッチをすべて適用するよう呼びかけている。
