KulturPro
Administrator
Anmeldungsdatum: 26.11.2004
Beiträge: 233
Wohnort: Schöppingen/Münsterland
|
 Verfasst am:
12.05.2007, 12:18 Drei kritische Lücken in Netzwerkauthentifizierung Kerberos |
  |
News
Meldung vom 04.04.2007 10:48
Drei kritische Lücken in Netzwerkauthentifizierung Kerberos Meldung vorlesen
Das MIT hat drei kritische Lücken in seiner Implementierung der Netzwerkauthentifizierungslösung Kerberos v5 gemeldet, die in allen Versionen bis einschließlich 5-1.6 enthalten sind. Da andere Hersteller ebenfalls die Kerberos-Bibliotheken des MIT benutzen, können auch weitere Produkte betroffen sein.
Anzeige
Bis zum Erscheinen einer neuen Kerberos-5-Version sollen Patches die Lücken schließen. Die meisten Linux-Distributoren geben aber bereits eigene fehlerbereinigte Pakete heraus, sodass sich Anwender in vielen Fällen nicht die Mühe der Neuübersetzung des Quellcodes machen müssen.
Über die Lücken kann ein Angreifer unter anderem aus der Ferne die Kontrolle über ein System übernehmen. Zwei der Lücken finden sich im Dienst kadmind beziehungsweise im Key Distribution Center (KDC) und ermöglichen das Einschleusen und Starten von Code als Root. Laut Fehlerbericht des MIT muss ein Angreifer dazu aber bereits authentifiziert sein. Ein Fehler im Telnet-Dienst ermöglicht einem Angreifer darüber hinaus die Anmeldung mit Root-Rechten, in dem er nur einen präparierten Nutzernamen angibt. Der Fehler soll sich sehr einfach ausnutzen lassen, nähere Angaben macht das MIT daher auch nicht. Als Workaround sollten Anwender den Telnet-Dienst abschalten.
Siehe dazu auch:
* telnetd allows login as arbitrary user, Fehlerbericht des MIT
* KDC, kadmind stack overflow in krb5_klog_syslog, Fehlerbericht des MIT
* double-free vulnerability in kadmind (via GSS-API library), Fehlerbericht des MIT
Quelle: http://www.heise.de/security/news/meldung/87838/from/rss09
|
|
