Af Torben B. Sørensen, 30/05/17
Udviklerne af FreeRADIUS har fjernet en sårbarhed, der giver angribere mulighed for at logge ind uden et password.
FreeRADIUS er udbredt open source-software, der implementerer RADIUS (Remote Authentication Dial-In User Service). Sårbarheden ligger i håndteringen af afbrudte TLS-sessioner.
Når en session bliver afbrudt, kan den bagefter genoptages. Men i nogle tilfælde kan en angriber overtage en session uden at oplyse brugernavn og password.
Fejlen findes kun, hvis man har slået TLS session caching til.
Anbefaling
Opdater til FreeRADIUS 3.0.14 eller slå TLS session caching fra.