FreeRADIUS废弃证书验证绕过漏洞

发布日期：2011-07-25
更新日期：2011-07-25受影响系统：
FreeRADIUS FreeRADIUS 2.1.x
FreeRADIUS FreeRADIUS 2.0.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 48880
CVE ID: CVE-2011-2701FreeRadius是一款使用RADIUS协议的开放源代码验证和帐户系统。FreeRADIUS在验证废弃证书的实现上存在验证绕过漏洞，远程攻击者可利用此漏洞越权访问受影响服务器。在测试FreeRADIUS的OCSP支持中，FreeRADIUS代码解析OCSP响应器的回应的方式中存在安全漏洞。如果FreeRADIUS服务器配置为使用OCSP证书验证使用EAP-TLS，此漏洞会允许远程攻击者使用废弃证书成功验证FreeRADIUS服务器。<*来源：DFN-CERT

链接：http://www.securityfocus.com/archive/1/518974
*>建议：
--------------------------------------------------------------------------------
厂商补丁：FreeRADIUS
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.freeradius.org/BusyBox应答“udhcpc” Shell字符远程代码执行漏洞QEMU “-runas”参数本地安全限制绕过漏洞相关资讯漏洞 freeradius

FreeRadius 安装过程记录（03/25/2015 12:10:12）
FreeRADIUS "rlm_pap"模块拒绝服务（02/19/2014 15:40:51）
CentOS 6.2下Freeradius2.2安装和（02/21/2013 17:18:32）

快递官网漏洞泄露 1400 万用户信息（08/12/2014 08:37:42）
FreeRADIUS 2.2.1 发布，远端接入（09/18/2013 20:34:14）
软件漏洞是一笔大买卖！（10/06/2012 08:28:32）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款