Jetzt patchen: FreeRADIUS stopft Sicherheitslücken

Wer den beliebten Open-Source-RADIUS-Server FreeRADIUS verwendet, sollte Updates einspielen. Über Sicherheitslücken können Angreifer aus der Ferne Schadcode zur Ausführung bringen.

Die Entwickler von FreeRADIUS, der am häufigsten eingesetzten Umsetzung des Anmelde-Protokolls RADIUS, haben 11 Sicherheitslücken in ihrer Software mit Sicherheitsupdates gestopft. Diese lassen sich allesamt aus der Ferne ausnutzen, zwei davon können missbraucht werden, um Schadcode zur Ausführung zu bringen. Updates gibt es für alle noch unterstützen Versionszweige (2.x, 3.0.x und 4.0.x) der Software. Diese können auf der FreeRADIUS-Webseite heruntergeladen werden.

Entdeckt hat die Sicherheitslücken Guido Vranken, der im Auftrag der Entwickler deren Software mit einem Fuzzing-Tool untersucht hatte. In seinem Blog finden sich die CVE-Nummern der einzelnen Lücken mit jeweils einer kurzen Umschreibung ihres Schadpotenzials. Die Entwickler kommentieren die Ergebnisse des Scans so: „Was Sicherheit angeht ist C eine schreckliche Sprache. Wir wissen das seit vielen Jahren.“ Trotzdem reichen ihnen die bisherigen Maßnahmen beim Zusammenbauen des Quellcodes nicht aus, um die Software sicher zu machen. In Zukunft wollen die Entwickler deswegen das Fuzzing-Tool fest integrieren, in der Hoffnung, ähnliche Fehler früh zu finden. (fab)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.