1.漏洞描述 Remote Authentication Dial In User Service(RADIUS)服務(wù)器可用于對使用RADIUS協(xié)議的終端進行認證、授權(quán)和統(tǒng)計，基于RFC 2865。它可應(yīng)用多種操作系統(tǒng)之下。 部分RADIUS協(xié)議實現(xiàn)中存在一個安全漏洞，由于沒有對vendor-specific屬性的vendor-length域進行正確驗證，遠程攻擊者可以通過發(fā)送包含畸形vendor-specific屬性的數(shù)據(jù)包造成RADIUS服務(wù)器或客戶端崩潰。 RADIUS服務(wù)器和客戶端沒有正確驗證vendor-specific屬性里的vendor-length。vendor-length不應(yīng)小于2。一旦vendor-length小于2，RADIUS服務(wù)器(或客戶端)就會將該屬性長度作為負數(shù)計算，這可能造成程序非法訪問、異常終止。這一屬性長度會被各個函數(shù)使用。多數(shù)RADIUS服務(wù)器中，執(zhí)行這一計算的函數(shù)為rad_recv()或radrecv()。其他使用同一邏輯來驗證vendor-specific屬性的應(yīng)用程序也會碰到同一問題。 2.影響產(chǎn)品(系統(tǒng)版本 是否受影響) 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1 不影響 3.漏洞評分( 漏洞編號 危害程度 CVSS 3.1 評分 漏洞類型) CVE-2001-1377 中等 暫無漏洞評分 其他 漏洞評分向量：暫無漏洞向量 4.修復(fù)方案 無需修復(fù)