FreeRADIUS废弃证书验证绕过漏洞

文章由LinuxBoy分享于2019-04-02 09:04:05热评（148）

FreeRADIUS废弃证书验证绕过漏洞

发布日期：2011-07-25
更新日期：2011-07-25

受影响系统：
FreeRADIUS FreeRADIUS 2.1.x
FreeRADIUS FreeRADIUS 2.0.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 48880
CVE ID: CVE-2011-2701

FreeRadius是一款使用RADIUS协议的开放源代码验证和帐户系统。

FreeRADIUS在验证废弃证书的实现上存在验证绕过漏洞，远程攻击者可利用此漏洞越权访问受影响服务器。

在测试FreeRADIUS的OCSP支持中，FreeRADIUS代码解析OCSP响应器的回应的方式中存在安全漏洞。如果FreeRADIUS服务器配置为使用OCSP证书验证使用EAP-TLS，此漏洞会允许远程攻击者使用废弃证书成功验证FreeRADIUS服务器。

<*来源：DFN-CERT

链接：http://www.securityfocus.com/archive/1/518974
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

FreeRADIUS
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.freeradius.org/

推荐文章：

FreeRADIUS废弃证书验证绕过漏洞