Lücke in OpenBSD bei Radius-Anmeldung
Die Radius-Authentifizierung (Remote Authentication Dial-In User Service) via login_radius überprüft die Antworten des Radius-Servers nicht im Verborgenen. Dies kann der Angreifer ausnutzen, indem er eine speziell erstellte, gespoofte Antwort an den Server schickt. Ein erfolgreicher Angriff setzt voraus, dass "radius authentication" aktiviert ist. In der Voreinstellung ist dies nicht der Fall.
Für die betroffenen Versionen 3.x von OpenBSD gibt es bereits Patches. Für einen Patch der Version 3.5 werden Sie hier fündig. Den Patch für die Ausgabe 3.4 gibt es hier. Den zugehörigen Security Report von tecCHANNEL finden Sie auf dieser Seite.
Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (uba).
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Sicherheit |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50 % billiger als Buch) |