发布日期：2011-07-25
更新日期：2011-07-25

受影响系统：

FreeRADIUS FreeRADIUS 2.1.x
FreeRADIUS FreeRADIUS 2.0.x

描述：

---

BUGTRAQ  ID: 48880
CVE ID: CVE-2011-2701

FreeRadius是一款使用RADIUS协议的开放源代码验证和帐户系统。

FreeRADIUS在验证废弃证书的实现上存在验证绕过漏洞，远程攻击者可利用此漏洞越权访问受影响服务器。

在测试FreeRADIUS的OCSP支持中，FreeRADIUS代码解析OCSP响应器的回应的方式中存在安全漏洞。如果FreeRADIUS服务器配置为使用OCSP证书验证使用EAP-TLS，此漏洞会允许远程攻击者使用废弃证书成功验证FreeRADIUS服务器。

<*来源：DFN-CERT
  
  链接：http://www.securityfocus.com/archive/1/518974
*>

建议：

---

厂商补丁：

FreeRADIUS
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.freeradius.org/

浏览次数：2349
严重程度：0（网友投票）