Sicherheitslücke in Kerberos 5

Die Administrations-Bibliothek in der Implementierung des Kerberos-5-Protokolls des Massachusetts Institute of Technology (MIT) enthält eine Sicherheitslücke, mit der sich Code einschleusen und ausführen lässt.

In Pocket speichern vorlesen Druckansicht 35 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Die Administrations-Bibliothek in der Implementierung des Kerberos-5-Protokolls des Massachusetts Institute of Technology (MIT) enthält eine Sicherheitslücke. In einem Advisory weisen die Entwickler auf einen Buffer Overflow in der Library libkadm5srv hin. Ursache ist ein Fehler im Code zur Verarbeitung der Passwort-Historie, der beim Passwort-Wechsel auftritt. Allerdings setzt dies einen bestimmten Zustand der Historie voraus.

Ein Angreifer ist damit in der Lage, beliebigen Code in ein Key Distribution Center (KDC) zu schleusen und auszuführen. Betroffen sind alle Versionen der KDC-Software (Kerberos 5) bis einschließlich krb5-1.3.5. Die Entwickler haben einen Patch zur Verfügung gestellt. Zuletzt war im Juni eine Sicherheitslücke in der MIT-Implementierung des Kerberos-Protokolls bekannt geworden, bei der Code mit Root-Rechten ausführbar war.

Siehe dazu auch:

(dab)