Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 062/2004

CERT-FI haavoittuvuustiedote 062/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

6.9.2004

Haavoittuvuuksia Kerberos 5 protokollatoteutuksessa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- ilman kirjautumista
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Kerberos on laajasti asiakkaan ja palvelimen välisessä todentamisessa käytetty protokolla. MIT Kerberos 5 on suosittu Kerberos 5 protokollan toteutus. MIT Kerberos 5 protokollatoteutuksesta on löytynyt neljä uutta haavoittuvuutta, joista kolme on luokiteltu vakaviksi. Haavoittuvuudet ovat MIT Kerberos 5 kirjastossa.

Haavoittuvuuksista kolme vakavinta liittyy ohjelmiston varaaman muistialueen vapauttamiseen virheellisesti kahteen kertaan. Virheellinen muistin vapauttaminen tapahtuu ASN.1 koodauksen purkamisessa tai virheen käsittelyvaiheessa. Näistä kahta haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan KDC (Key Distribution Center) -järjestelmässä ilman autentikoitumista Kerberosta käyttävään palveluun. Kolmatta haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan missä tahansa Kerberosta käyttävässä järjestelmässä, mikä kutsuu krb5_rd_cred() -funktiota. Tämän haavoittuvuuden hyväksikäyttäminen edellyttää kuitenkin hyökkääjän autentikoitumista Kerberosta käyttävään palveluun.

Neljäs haavoittuvuuksista on asn1buf_skiptail() -funktioon liittyvä silmukka, jonka suorittamista ei kaikissa tilanteissa pysäytetä oikein. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista kohdistaa palveluestohyökkäys Kerberosta käyttävään järjestelmään (KDC, sovelluspalvelin tai Kerberos asiakas).

HAAVOITTUVAT OHJELMISTOT:

  • MIT Kerberos 5 versiot ennen versiota 1.3.5

  • Kaikki sovellukset, jotka käyttävät MIT Kerberos 5 kirjaston versioita ennen versiota 1.3.5

  • Mahdollisesti sovellukset, joiden koodi pohjautuu MIT Kerberos 5 toteutukseen

Lisätietoa haavoittuvista ohjelmistoversioista on saatavilla osoitteista:

http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2004-002-dblfree.txt

http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2004-003-asn1.txt

Haavoittuvuuksille alttiista järjestelmistä on saatavilla päivittyvää lisätietoa myös seuraavista US-CERT:n dokumenteista: VU#795632, VU#866472, VU#350792 ja VU#550464.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuudet on korjattu MIT Kerberos 5 versioon 1.3.5. Vanhemmille ohjelmistoversiolle on myös saatavilla erilliset korjaustiedostot. Lisätietoja päivittämisestä ja korjaustiedostoista on saatavilla osoitteista:

http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2004-002-dblfree.txt

http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2004-003-asn1.txt

LISÄTIETOA:

http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2004-002-dblfree.txt

http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2004-003-asn1.txt

http://www.us-cert.gov/cas/techalerts/TA04-247A.html

CAN-2004-0642 CAN-2004-0643 CAN-2004-0772
CAN-2004-0644

PÄIVITYSHISTORIA:

06.09.2004: Julkaistu
Sivua päivitetty 27.07.2007   Tulostusversio Tulostusversio