Ir para conteúdo

Alerta de Vulnerabilidade - FreeRADIUS

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
FreeRADIUS < 3.0.14
ECOSSISTEMA
Linux, Outro
Descrição

A implementação de TTLS e EAP no FreeRADIUS permite evitar autenticação interna quando retoma uma conexão TLS já existente.
Esta falha acontece porque é permitido a re-utilização de uma sessão TLS mesmo que esta não tenha passado com sucesso pelos métodos de autenticação.



Impacto

Um atacante remoto consegue passar "por cima" do método de autenticação usado.



Rsolução

Realizar a atualização para a versão 3.0.14.
Relembra-se que as versões 1.0.x, 1.1.x, 2.0.x, 2.1.x e 2.2.x já não têm suporte, não havendo atualizações para os mesmos. Nestes casos sugerimos que desabilitem a cache de sessões TLS temporariamente.



Referências

FreeRadius:
- http://freeradius.org/download.html
- http://freeradius.org/security.html

Common Vulnerabilities and Exposures:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9148

NIST - National Vulnerability Database:
- https://nvd.nist.gov/vuln/detail/CVE-2017-9148

HelpNetSecurity:
- https://www.helpnetsecurity.com/2017/05/30/freeradius-authentication-bypass/

Threat Post:
- https://threatpost.com/freeradius-update-resolves-authentication-bypass/125962/

Última atualização em 13-12-2020