Lücke in Kerberos-Modul gefährdet Apache-Webserver
Über präparierte Kerberos-Anfragen kann ein Angreifer einen Webserver zum Absturz bringen oder sogar eigenen Code einschleusen.
- Daniel Bachfeld
Durch die Authentifizierung mittels Kerberos sollen Netze zwar sicherer werden, durch eine Sicherheitslücke im Apache-Modul mod_auth_kerb tritt aber das genaue Gegenteil ein. Ist dort die Version 5.0, 5.1 oder 5.2 installiert, kann ein Angreifer über präparierte Kerberos-Anfragen einen verwundbaren Webserver zum Absturz bringen oder sogar eigenen Code einschleusen und starten. Andere Versionen des Moduls sind eventuell ebenfalls betroffen.
Genaue Angaben zu dem Fehler gibt es noch nicht, es soll sich aber um einen Heap Overflow im Modul spnegokrb5/der_get.c in der Funktion der_get_oid handeln. Ein offizielles Update steht nicht zur Verfügung. Es ist damit zu rechnen, dass die Linux-Distributoren bald aktualisierte Pakete herausgeben werden.
Siehe dazu auch:
- CVE-2006-5989 mod_auth_kerb segfault with FC6 client, Eintrag in Fehlerdatenbank von Redhat
- CVE-2006-5989 mod_auth_kerb segfaults when talking to newest KRB5 libs, Eintrag in Fehlerdatenbank von Redhat
(dab)
