Kritische Schwachstellen in Kerberos

Die Lücken lassen sich zur Enthüllung sensibler Informationen, Denial of Service oder Systemzugriff ausnutzen. KDC nutzt nur eine globale Variable für alle eingehenden krb4-Anfragen. Dies lässt sich eventuell ausnutzen, um einen Server zum Absturz zu bringen. Ein weiterer Fehler existiert bei der Beantwortung von krb4-Anfragen. Mit einer speziell präparierten Anfrage lässt sich unter Umständen Speicher auslesen. Diese Schwachstellen sind bestätigt für Kerberos 5 1.6.3 und früher.

Zwei weitere Fehler befinden sich in der RPC-Bibliothek von Kerberos. Mit massenhaften RPC-Anfragen könnte sich der Speicher kompromittieren lassen. Ein erfolgreicher Angriff könnte das Ausführen beliebigen Codes zulassen. Diese Sicherheitslücke ist bestätigt für Kerberos 5 1.2.2 bis 1.3 und 1.4 bis 1.6.3. Die Entwickler empfehlen das Einspiele der bereitgestellten Patches (eins, zwei) (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.