Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/06/2017
Vulnerabilitat en salt d'autenticació en FreeRADIUS
S’ha descobert una vulnerabilitat de salt d’autenticació en el restabliment TLS en FreeRADIUS.FreeRADIUS es tracta d’una implementació lliure de servidor de protocol RADIUS, per a sistemes Unix i derivats. La vulnerabilitat publicada rau en la implementació de TTLS i PEAP que bota l’autenticació interna quan tracta reconnexió TLS represa.
Sistemes Afectats:Es veuen afectades les versions 2.2.x, 3.0.x (anteriors a 3.0.14) i les versions en desenvolupament 3.1.x i 4.0.x.
Referències:
CVE-2017-9148
Solució:Com a contramesures es recomana desactivar l’escorcoll de sessió TLS. Es pot assignar "enabled = no" en la subsecció "cache de la configuración del módulo EAP" (raddb/mods-enabled/eap en la v3.0.x).
També s’ha publicat la versió 3.0.14 que soluciona aquest problema (i altres més no relacionats directament amb la seguretat).
Notes:Més informació: