Alerta de Vulnerabilidade - FreeRADIUS
A implementação de TTLS e EAP no FreeRADIUS permite evitar autenticação interna quando retoma uma conexão TLS já existente.
Esta falha acontece porque é permitido a re-utilização de uma sessão TLS mesmo que esta não tenha passado com sucesso pelos métodos de autenticação.
Um atacante remoto consegue passar "por cima" do método de autenticação usado.
Realizar a atualização para a versão 3.0.14.
Relembra-se que as versões 1.0.x, 1.1.x, 2.0.x, 2.1.x e 2.2.x já não têm suporte, não havendo atualizações para os mesmos. Nestes casos sugerimos que desabilitem a cache de sessões TLS temporariamente.
FreeRadius:
- http://freeradius.org/download.html
- http://freeradius.org/security.html
Common Vulnerabilities and Exposures:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9148
NIST - National Vulnerability Database:
- https://nvd.nist.gov/vuln/detail/CVE-2017-9148
HelpNetSecurity:
- https://www.helpnetsecurity.com/2017/05/30/freeradius-authentication-bypass/
Threat Post:
- https://threatpost.com/freeradius-update-resolves-authentication-bypass/125962/