FreeRADIUS服务器TLS连接中CRL分发点处理缺陷分析

问题概述

在FreeRADIUS服务器3.2.7版本中，当处理TLS连接时，如果客户端证书链包含多个中间证书且这些证书定义了CRL（证书吊销列表）分发点，服务器会出现段错误（Segmentation Fault）导致崩溃。这个问题主要影响使用RADSEC协议进行认证的场景，特别是WBA开放漫游服务器这类需要多层证书链验证的环境。

技术背景

FreeRADIUS是一个高性能的开源RADIUS服务器，广泛应用于网络认证场景。RADSEC是基于TLS的安全RADIUS协议实现，它依赖于X.509证书进行双向认证。在证书验证过程中，服务器不仅需要验证证书本身的合法性，还需要检查证书是否被吊销，这通常通过CRL分发点来实现。

问题根源分析

通过调试和代码分析，发现问题出现在src/main/tls.c文件中的cbtls_verify()函数。当处理证书链中的第二个中间证书（lookup值为2）时，代码尝试为CRL分发点创建属性对（attribute pair），但没有进行必要的安全检查。

具体来说，代码中其他属性处理逻辑都包含if (certs && (lookup <= 1))的条件判断，确保只处理终端实体证书和第一个中间证书。然而CRL分发点处理部分的代码缺少这个检查，导致当处理第二个中间证书时，程序尝试访问非法内存地址。

问题复现条件

1. FreeRADIUS 3.2.7版本
2. 配置为RADSEC服务器监听2083端口
3. 客户端证书链包含至少两个中间证书
4. 中间证书包含CRL分发点扩展
5. 服务器只配置了根CA证书（不包含中间证书）

解决方案

修复方案相对简单，只需在CRL分发点处理代码块中添加与其他属性处理相同的安全检查条件。具体修改是在src/main/tls.c文件的相应位置添加if (certs && (lookup <= 1))判断，确保只处理终端实体证书和第一个中间证书的CRL分发点。

影响评估

这个缺陷主要影响以下场景：

• 使用复杂证书链（多级中间CA）的RADSEC部署
• 特别是WBA开放漫游等需要多级CA信任的环境
• 任何配置了CRL分发点的证书链验证

对于简单证书链（只有终端实体证书和单层中间CA）的环境，这个问题不会触发。

最佳实践建议

1. 及时升级到包含此修复的FreeRADIUS版本
2. 在生产环境部署前，使用包含多级证书链的测试用例验证TLS功能
3. 考虑在复杂PKI环境中使用OCSP（在线证书状态协议）作为CRL的替代方案
4. 定期检查证书链配置，确保所有必要的中间证书都正确安装

总结

这个缺陷揭示了FreeRADIUS在复杂证书链处理中的一个边界条件问题。通过添加适当的检查条件，可以确保服务器在多级CA环境中稳定运行。这也提醒开发者在处理证书链时需要特别注意各级证书的属性提取逻辑，确保代码对所有可能的情况都有正确的处理路径。