MIT patcht Kerberos
Über mehrere Schwachstellen können nicht-privilegierte Anwender an höhere Rechte gelangen.
Das Massachusetts Institute of Technology hat auf mehrere Schwachstellen in seiner Kerberos-Implementierung hingewiesen, über die nicht-privilegierte Anwender auf einem System an höhere Rechte gelangen können. Laut Fehlerbericht sind in der Kerberos-5-Quellcode-Distribution mehrere Anwendungen enthalten, die Aufrufe von setuid() und seteuid() nicht immer richtig prüfen. Darüber könne ein Angreifer dann etwa an Root-Rechte gelangen.
Allerdings hänge das konkrete Risiko vom jeweiligen Betriebssystem ab. So seien etwa unter Linux und AIX nur die ungeprüften Aufrufe von setuid() ein Problem. AIX ist ohnehin nur dann betroffen, wenn statt der IBM-Implementierung von Kerberos die des MIT verwendet wird. Die Fehler stecken in allen Versionen bis einschließlich 1.5 sowie 1.4.x. In rb5-1.5.1 und krb5-1.4.4 sind die Fehler behoben.
Siehe dazu auch: (dab)
- Multiple local privilege escalation vulnerabilities, Fehlerbericht vom MIT
