FreeRADIUS废弃证书验证绕过漏洞

发布日期:2011-07-25
更新日期:2011-07-25

受影响系统:
FreeRADIUS FreeRADIUS 2.1.x
FreeRADIUS FreeRADIUS 2.0.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 48880
CVE ID: CVE-2011-2701

FreeRadius是一款使用RADIUS协议的开放源代码验证和帐户系统。

FreeRADIUS在验证废弃证书的实现上存在验证绕过漏洞,远程攻击者可利用此漏洞越权访问受影响服务器。

在测试FreeRADIUS的OCSP支持中,FreeRADIUS代码解析OCSP响应器的回应的方式中存在安全漏洞。如果FreeRADIUS服务器配置为使用OCSP证书验证使用EAP-TLS,此漏洞会允许远程攻击者使用废弃证书成功验证FreeRADIUS服务器。

<*来源:DFN-CERT
 
  链接:
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

FreeRADIUS
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwxdfs.html