Menü
Security

FreeRADIUS: Anmelde-Server dank Sicherheitslücke viel zu gutgläubig

Bei der Wiederaufnahme von TLS-Verbindungen überprüft der Anmelde-Server FreeRADIUS unter Umständen nicht, ob der Nutzer sich jemals richtig angemeldet hat. Für eine Software, die Anmeldungen prüfen soll, ist das fatal.

vorlesen Drucken Kommentare lesen 17 Beiträge
FreeRADIUS: Anmelde-Server dank Sicherheitslücke viel zu vertrauenswürdig

FreeRADIUS, die am häufigsten eingesetzte RADIUS-Software, enthält eine Sicherheitslücke beim Umgang mit TLS-Verbindungen. Um mit Verbindungsunterbrechungen umgehen zu können, verlangt der Anmelde-Server nicht bei jeder neuen Verbindungsaufnahme erneut eine komplette Anmeldung vom Client. Das ist so eigentlich auch vorgesehen und in Ordnung, wenn der Server wenigstens ein Mal eine valide Anmeldung durchgeführt hat. Die jetzt öffentlich gemachte Sicherheitslücke liegt darin begründet, dass ein Angreifer so tun kann, als ob er eine bestehende Verbindung aufgreift, ohne sich jemals korrekt angemeldet zu haben.

Da der Bug im Caching-Mechanismus für TLS-Sessions steckt, lässt sich dieser Mechanismus komplett deaktivieren und eine FreeRADIUS-Installation auf diesem Wege absichern. Das führt allerdings zu mehr Overhead, wenn TLS-Verbindungen unterbrochen werden – zum Beispiel wenn ein Mobilgerät von einer Funkzelle in eine andere wechselt. Ein am 26. Mai veröffentlichtes Update für FreeRADIUS (Version 3.0.14) sollte die Lücke permanent schließen; jedenfalls hoffen das die Entwickler. Die Lücke war zuerst im Februar entdeckt und dann mehrmals durch Patches geschlossen worden, die sich im Nachhinein als unzureichendes Flickwerk entpuppt hatten. Da auch ältere 2.x-Versionen betroffen sind, sollten Admins entweder auf den 3.x-Zweig umsteigen oder das TLS Session Caching deaktivieren.

Das RADIUS-Protokoll findet vielfältigen Einsatz bei der entfernten Anmeldung von Nutzern. Manche Internet Service Provider regeln damit zum Beispiel die Anmeldung der Endgeräte beim Kunden im eigenen Netz. Außerdem wird es oft in Firmen verwendet, um den Zugang zum internen WLAN oder zu E-Mail-Systemen zu regeln. Oft wird bei der Umsetzung auf den verschiedensten Geräten dabei die Open-Source-Software FreeRADIUS verwendet. (fab)