Monday, March 24th, 2008...10:20 pm

Błąd w implementacji MIT Kerberos

Jump to Comments

Temat jakoś nie wypłynął na żadnym z polskich blogów czy portali które czytam, a potencjalnie może dotyczyć wielu użytkowników.

W implementacji protokołu Kerberos dostarczanej przez MIT znaleziony został krytyczny błąd, mogący potencjalnie pozwolić atakującemu na zdalne wywołanie kodu, dostęp do systemu, atak typu DoS czy nieautoryzowane ujawnienie informacji. Błąd został znaleziony przez Secunia, odpowiednia informacja dostępna też jest na stronie CERT.

Problem jest o tyle poważny, że implementacja ta używana jest na wielu systemach Linux \ UNIX (w szczególności tych, w których użytkownicy uwierzytelniają się w ramach Active Directory), Mac OS X i produktach pozwalających na integrację systemów z użyciem Kerberos chociażby takich jak Centrify. Warto więc zainteresować się sprawą i sprawdzić czy nie występuje potrzeba aktualizacji komponentów w Waszych systemach.

Wersja Kerberos używana w ramach Windows Server nie opiera się na implementacji MIT i z tego co się dowiedziałem nie jest objęta problemem. MSRC ma opublikować w tej sprawie odpowiedni komunikat i współpracuje w tym zakresie z CERT.

Jeżeli już jesteśmy przy Kerberos – z blogu Jacksona Shawa dowiedziałem się o powołaniu przez grupę firm MIT Kerberod Consortium. Chociaż nie jako założyciel to Microsoft również dołączył do tego konsorcjum. Czy z tego coś dla nas wyniknie … zobaczymy :).

Leave a Reply