FreeRADIUS

FreeRADIUS lukker 11 sikkerhedshuller

To af sårbarhederne kan udnyttes til at afvikle skadelig programkode på systemet.

Udviklerne af FreeRADIUS understreger dog, at hvis man følger best practices, vil ens system sandsynligvis ikke være sårbart. Det vil sige, at FreeRADIUS-serveren sidder på et privat netværk, hvor den kun kan nås fra enheder, man kontrollerer.

Indgår ens RADIUS-server (Remote Authentication Dial-In User Service) i et roaming-konsortium, kan alle inden for konsortiet angribe den ved hjælp af sårbarhederne. Er RADIUS-serveren direkte tilgængelig fra internettet, kan enhver angribe den.

Dansk

FreeRADIUS lukker alvorligt hul

FreeRADIUS er udbredt open source-software, der implementerer RADIUS (Remote Authentication Dial-In User Service). Sårbarheden ligger i håndteringen af afbrudte TLS-sessioner.

Når en session bliver afbrudt, kan den bagefter genoptages. Men i nogle tilfælde kan en angriber overtage en session uden at oplyse brugernavn og password.

Fejlen findes kun, hvis man har slået TLS session caching til.

Anbefaling

Opdater til FreeRADIUS 3.0.14 eller slå TLS session caching fra.

Dansk
Abonnér på RSS - FreeRADIUS