Mehrere Schwachstellen in Kerberos-Implementierung des MIT
Angreifer können die Schwachstellen ausnutzen, um den Kerberos Administration Daemon und das Key Distribution Center (KDC) zum Absturz bringen. Sogar Codeausführung soll möglich sein. Patches beseitigen die Fehler.
- Daniel Bachfeld
Die Kerberos-Entwickler am Massachusetts Institute of Technology (MIT) haben Sicherheitslücken in ihrer Netzwerk-Authentifizierungs-Suite gemeldet. Angreifer können den Berichten zufolge Schwachstellen in der SPNEGO GSS-API ausnutzen, um den Kerberos Administration Daemon (kadmind) und das Key Distribution Center (KDC) zum Absturz bringen.
Die Entwickler schließen nicht aus, dass sich ein Fehler im ASN.1-Decoder sogar zum Einschleusen und Ausführen von Code ausnutzen lässt. Alle Angriffe lassen sich aus der Ferne ausführen und erfordern keine Authentifizierung.
Betroffen sind die Kerberos-Versionen ab krb5-1.5 sowie darauf aufsetzende Software. Der kritische Fehler im ASN.1-Decoder soll seit Version krb5 in der Software enthalten sein. In den kommenden offiziellen Updates krb5-1.7 und krb5-1.6.4 sollen die Fehler behoben sein.
Alternativ stellt das MIT Patches (hier und hier) bereit. Unter anderem hat Ubuntu schon für seine Distributionen aktualisierte Pakete veröffentlicht, in denen die Fehler ebenfalls behoben sind.
Siehe dazu auch
- ASN.1 decoder frees uninitialized pointer, Bericht vom MIT
- multiple vulnerabilities in SPNEGO, ASN.1 decoder, Bericht vom MIT
- krb5 vulnerabilities , Beschreibung von Ubuntu
(dab)
