
<div dir="ltr">Can you send a patch please? It’s been like that since before I touched the package.</div><br><div class="gmail_quote"><div dir="ltr">On Sun, Jan 13, 2019 at 11:39 PM Sam Hartman <<a href="mailto:hartmans@debian.org">hartmans@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">package: freeradius<br>

tags: security<br>

version: 3.0.17+dfsg-1<br>

severity: important<br>

justification: Inappropriately broad default authorization<br>

<br>

The debian freeradius package changes the default eap configuration to<br>

use the default list of Debian certification authorities as the default<br>

CAs for verifying client certificates for incoming EAP connections.<br>

<br>

The package leaves the following notice in<br>

/etc/freeradius/3.0/mods-available/eap:<br>

<br>

        #  See also:<br>

        #<br>

        #  <a href="http://www.dslreports.com/forum/remark,9286052~mode=flat" rel="noreferrer" target="_blank">http://www.dslreports.com/forum/remark,9286052~mode=flat</a><br>

        #<br>

        #  Note that you should NOT use a globally known CA here!<br>

        #  e.g. using a Verisign cert as a "known CA" means that<br>

        #  ANYONE who has a certificate signed by them can<br>

<br>

And then proceeds to do something even worse: it sets the default CA to<br>

the entire list of Debian trusted CAs.<br>

<br>

As discussed by the freeradius docs, you want the default for EAP<br>

certificates to be an organization-specific CA.<br>

<br>

--Sam<br>

<br>

_______________________________________________<br>

Pkg-freeradius-maintainers mailing list<br>

<a href="mailto:Pkg-freeradius-maintainers@alioth-lists.debian.net" target="_blank">Pkg-freeradius-maintainers@alioth-lists.debian.net</a><br>

<a href="https://alioth-lists.debian.net/cgi-bin/mailman/listinfo/pkg-freeradius-maintainers" rel="noreferrer" target="_blank">https://alioth-lists.debian.net/cgi-bin/mailman/listinfo/pkg-freeradius-maintainers</a><br>

</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Best regards,<br>Michael</div>