Uwaga, Kerberos ma lukę

W bardzo popularnym pakiecie oprogramowania Kerberos, przeznaczonym do uwierzytelnienia w sieci komputerowej, odkryto poważne luki w bezpieczeństwie. Dotyczą pakietu Kerberos wydanego w Massachusetts Institute of Technology, od starszych wersji do krb5-1.6.3 włącznie.

Dwa z tych błędów związane są z obsługą starszej wersji protokołu (krb4) w implementacji MIT mechanizmu KDC (Key Distribution Center). Najważniejszy z nich jest związany z wykorzystaniem globalnej zmiennej przy przetwarzaniu żądań krb4. Aby te luki można było wykorzystać do ataku, w oprogramowaniu Kerberos musi być włączona obsługa żądań krb4. Jest ona domyślnie wyłączona, ale w wielu instalacjach administratorzy ją aktywują, wykorzystując starszą wersję protokołu dla celów zgodności z innymi systemami.

Pozostałe błędy dotyczą mechanizmu obsługi deskryptorów otwartych plików i umożliwiają sprawny atak typu DoS. Powyższe luki w praktyce można wykorzystać do zdalnego wykonania dowolnego kodu, wywołania załamania serwera, a także odczytania wrażliwych obszarów pamięci.

Chociaż gotowe eksploity jeszcze nie zostały ujawnione, administratorzy powinni niezwłocznie dokonać aktualizacji za pomocą łaty udostępnionej przez MIT.

Dokumentacja dostępna jest pod TYM adresem.


TOP 200