Sicherheitslücken in MIT Kerberos 5

Das Massachusetts Institute of Technology (MIT) warnt vor einigen Sicherheitslücken in der freien MIT-Implementierung Kerberos 5, die unter anderem das Ausführen beliebigen Codes auf Server und Clients erlaubt.

Ein Double-Free-Fehler im Key Distribution Center (KDC), dem Herzstück des Kerberos-Authentifizierungs-Protokolls, erlaubt laut Security-Advisory eine Code-Ausführung. Der gelungene Angriff auf einen KDC-Server kann laut MIT das gesamte KDC-System kompromittieren. Betroffen sind die KDC-Software in Kerberos von Version 5.x bis 5-1.3.4, die Anwendung krb 524d ab Kerberos 5-1.2.8, sowie die auf der Funktion krb5_rd_cred() basierenden Anwendungen bis Kerberos 5-1.3.2.

Eine weitere Lücke weist die ASN.1 Decoder-Library auf, die die KDC-Software sowie alle Applikationen des MIT Kerberos 5 von Version 5-1.2.2 bis 5-1.3.4.betrifft. Beim erfolgreichen Ausnutzen der Lücke könne ein Angreifer eine DoS-Attacke durchführen und damit eine infinite Schleife im Decoder verursachen.

Nach Angaben des MIT lassen sich die Lücken schwer ausnutzen - bislang seien keine Exploits bekannt. Das Release 1.3.5, das allerdings noch nicht verfügbar ist, soll die Fehler beheben. Patches für die genannten Lücken stellt das MIT in den entsprechenden Security Advisories ab sofort zur Verfügung. (bsc)

tecCHANNEL Buch-Shop

Literatur zum Thema Sicherheit

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads