/ OSS / Jetzt patchen: FreeRADIUS stopft Sicherheitslücken

Jetzt patchen: FreeRADIUS stopft Sicherheitslücken

Moritz Rosenfeld on July 21, 2017 - 6:16 pm in OSS

Wer den beliebten Open-Source-RADIUS-Server FreeRADIUS verwendet, sollte Updates einspielen. Über Sicherheitslücken können Angreifer aus der Ferne Schadcode zur Ausführung bringen.

Die Entwickler von FreeRADIUS, der am häufigsten eingesetzten Umsetzung des Anmelde-Protokolls RADIUS, haben 11 Sicherheitslücken in ihrer Software mit Sicherheitsupdates gestopft. Diese lassen sich allesamt aus der Ferne ausnutzen, zwei davon können missbraucht werden, um Schadcode zur Ausführung zu bringen. Updates gibt es für alle noch unterstützen Versionszweige (2.x und 3.0.x) der Software. Diese können auf der FreeRADIUS-Webseite heruntergeladen werden.

Entdeckt hat die Sicherheitslücken Guido Vranken, der im Auftrag der Entwickler deren Software mit einem Fuzzing-Tool untersucht hatte. In seinem Blog finden sich die CVE-Nummern der einzelnen Lücken mit jeweils einer kurzen Umschreibung ihres Schadpotenzials. Die Entwickler kommentieren die Ergebnisse des Scans so: “Was Sicherheit angeht ist C eine schreckliche Sprache. Wir wissen das seit vielen Jahren.” Trotzdem reichen ihnen die bisherigen Maßnahmen beim Zusammenbauen des Quellcodes nicht aus, um die Software sicher zu machen. In Zukunft wollen die Entwickler deswegen das Fuzzing-Tool fest integrieren, in der Hoffnung, ähnliche Fehler früh zu finden.

Korrektur (19.07.2017, 14:32 Uhr): Liste der unterstützten Versionen korrigiert. FreeRADIUS 4.x ist der aktuelle Entwicklerzweig, die Fixes wurden dementsprechend direkt in das Git-Repository eingepflegt. (fab)

Read more on: Source

Comments are disabled