1.漏洞描述 Remote Authentication Dial In User Service(RADIUS)服务器可用于对使用RADIUS协议的终端进行认证、授权和统计，基于RFC 2865。它可应用多种操作系统之下。 部分RADIUS协议实现中存在一个安全漏洞，由于没有对vendor-specific属性的vendor-length域进行正确验证，远程攻击者可以通过发送包含畸形vendor-specific属性的数据包造成RADIUS服务器或客户端崩溃。 RADIUS服务器和客户端没有正确验证vendor-specific属性里的vendor-length。vendor-length不应小于2。一旦vendor-length小于2，RADIUS服务器(或客户端)就会将该属性长度作为负数计算，这可能造成程序非法访问、异常终止。这一属性长度会被各个函数使用。多数RADIUS服务器中，执行这一计算的函数为rad_recv()或radrecv()。其他使用同一逻辑来验证vendor-specific属性的应用程序也会碰到同一问题。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP1 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2001-1377 中等 暂无漏洞评分 其他 漏洞评分向量：暂无漏洞向量 4.修复方案 无需修复