Kritischer Fehler in MIT-Implementierung von Kerberos

Diverse Fehler in der freien MIT-Implementierung von Kerberos 5 zwingen zurzeit viele Hersteller zu Updates. Kerberos dient zur sicheren Authentifizierung im Netzwerk und wird beispielsweise in nativen Windows-2000-Umgebungen verwendet -- dort allerdings mit der Microsoft-Implementierung. Die Fehler ermöglichen es Angreifern über das Netzwerk eigenen Code auf Server und Clients zu schleusen und auszuführen. Insbesondere weist das MIT in seinem Advisory auf einen Double-Free-Fehler im ASN.1-Decoder im Key Distribution Center (KDC) hin, mit dem sich der Server und damit die gesamte Kerberos-Domäne kompromittieren lässt. Zusätzlich enthält die Kerberos-Bibliothek weitere fehlerhafte Funktionen. Laut Advisory sei das Ausnutzen der Schwachstellen schwer zu bewerkstelligen, es seien auch noch keine Exploits bekannt. Für einen Angriff auf den KDC muss ein Angreifer aber nicht authentifiziert sein.

Die Fehler finden sich in verschiedenen krb5-Releases, nähere Angaben sind dem Original-Advisory zu entnehmen. Die noch nicht verfügbare Release 1.3.5 soll die genannten Fehler beheben, es stehen aber schon Patches zur Verfügung, die die Probleme auch beseitigen. Die Linux-Distributoren geben ebenfalls neue Pakete heraus. Cisco informiert seine Kunden in einem eigenen Advisory über das Kerberos-Problem. Demnach sind nur die VPN-Konzentratoren der 3000er-Serie betroffen. Produkte mit IOS und Ciscos PIX sind nicht verwundbar, da sie nicht auf der MIT-Implementierung basieren.

Siehe dazu auch: (dab)

• Security Advisory des MIT