Kerberos-Entwickler warnen vor Sicherheitslücke

26. Oktober 2002, 10:43
posten

Online-Authentifizierungssystem verwundbar durch Buffer-Overflow

Die Entwickler von Kerberos am Massachusetts Institute of Technology (MIT) warnen in einer Aussendung vor einer Sicherheitslücke in ihrem Online-Identifizierungssystem. Die Warnung wurde inzwischen auch vom Beratungsgremium des US-Energieministeriums, Computer Incident Advisory Capabilities (CIAC), aufgegriffen. Durch einen "Buffer Overflow" in Kerberos können Angreifer Zugang zu einem Key Distribution Center (KDC) erlangen.

Exploit bereits im Umlauf

Der Fehler liegt in der Implementation des "Kerberos v4 Compatibility Administration Daemon" (kadmind4) im MIT krb5, der die Kommunikation mit älteren Client-Seiten ermöglicht. Für einen erfolgreichen Angriff muss sich ein Angreifer nach Angaben der Kerberos Entwickler nicht bei dem Daemon anmelden. Ein Exploit für die Schwachstelle soll sich bereits im Umlauf befinden.

Betroffen von der Sicherheitslücke sind alle aktuellen Versionen von MIT Kerberos 5 einschließlich dem letzten Release krb5-1.2.6 sowie MIT Kerberos 4. Das MIT-Team hat mit seinem Advisory auch gleich einen Patch zur Verfügung gestellt. (pte)

Share if you care.