FreeRADIUS: Anmelde-Server dank Sicherheitslücke viel zu gutgläubig

Bei der Wiederaufnahme von TLS-Verbindungen überprüft der Anmelde-Server FreeRADIUS unter Umständen nicht, ob der Nutzer sich jemals richtig angemeldet hat. Für eine Software, die Anmeldungen prüfen soll, ist das fatal.

FreeRADIUS, die am häufigsten eingesetzte RADIUS-Software, enthält eine Sicherheitslücke beim Umgang mit TLS-Verbindungen. Um mit Verbindungsunterbrechungen umgehen zu können, verlangt der Anmelde-Server nicht bei jeder neuen Verbindungsaufnahme erneut eine komplette Anmeldung vom Client. Das ist so eigentlich auch vorgesehen und in Ordnung, wenn der Server wenigstens ein Mal eine valide Anmeldung durchgeführt hat. Die jetzt öffentlich gemachte Sicherheitslücke liegt darin begründet, dass ein Angreifer so tun kann, als ob er eine bestehende Verbindung aufgreift, ohne sich jemals korrekt angemeldet zu haben.

Quelle: FreeRADIUS: Anmelde-Server dank Sicherheitslücke viel zu gutgläubig | heise Security