descubrimiento de un conjunto de vulnerabilidades en FreeRADIUS.
FreeRADIUS es una implementación libre de servidor de protocolo RADIUS,
para sistemas Un*x y derivados, usada fundamentalmente para la
autenticación y gestión de cuentas en proveedores de servicios de
Internet (ISPs), si bien es posible su empleo en cualquier red donde
deban gestionarse cuentas y autenticación de usuarios de un modo
centralizado.
La función sql_escape_func() de FreeRADIUS podría ser vulnerable y
ocasionar desbordamientos de búfer, así como inyección de código SQL,
lo que facilitaría que un usuario malicioso pudiera modificar datos
sensibles y/o la ejecución de código arbitrario de un modo remoto.
Desde Hispasec sistemas recomendamos actualizar a la última versión
de FreeRADIUS para solventar estos problemas.
Sergio Hernando
shernando@hispasec.com
shernando@hispasec.com
Más información:
FreeRADIUS: Buffer overflow and SQL injection vulnerability
http://www.gentoo.org/security/en/glsa/glsa-200505-13.xml
FreeRADIUS
http://www.freeradius.org
0 comentarios:
Publicar un comentario en la entrada