SicherheitslĂĽcke in Kerberos 5
Die Administrations-Bibliothek in der Implementierung des Kerberos-5-Protokolls des Massachusetts Institute of Technology (MIT) enthält eine Sicherheitslücke, mit der sich Code einschleusen und ausführen lässt.
Die Administrations-Bibliothek in der Implementierung des Kerberos-5-Protokolls des Massachusetts Institute of Technology (MIT) enthält eine Sicherheitslücke. In einem Advisory weisen die Entwickler auf einen Buffer Overflow in der Library libkadm5srv hin. Ursache ist ein Fehler im Code zur Verarbeitung der Passwort-Historie, der beim Passwort-Wechsel auftritt. Allerdings setzt dies einen bestimmten Zustand der Historie voraus.
Ein Angreifer ist damit in der Lage, beliebigen Code in ein Key Distribution Center (KDC) zu schleusen und auszufĂĽhren. Betroffen sind alle Versionen der KDC-Software (Kerberos 5) bis einschlieĂźlich krb5-1.3.5. Die Entwickler haben einen Patch zur VerfĂĽgung gestellt. Zuletzt war im Juni eine SicherheitslĂĽcke in der MIT-Implementierung des Kerberos-Protokolls bekannt geworden, bei der Code mit Root-Rechten ausfĂĽhrbar war.
Siehe dazu auch:
(dab)
