Open Source im professionellen Einsatz

Kritische Security-Updates für Kerberos

12.07.2017

Diverse Linux-Distributionen aber auch Microsoft und das Samba-Team haben Patches für ihre Betriebssysteme und Software veröffentlicht, die ein gravierendes Sicherheitsproblem im Authentifizierungsprotokoll Kerberos beheben sollen.

96

Das von den Entdeckern in Anlehnung an die mythologischen Wurzeln des Programmnamens Kerberos angelehnt Orpheus Lyre getaufte Lücke erlaubt eine Man-in-the-Middle-Attacke. Wie inzwischen öfter geschehen, haben die Entdecker (Jeffrey Altman, Viktor Duchovni, Nico Williams) eine eigene Website für Sicherheitslücke eingerichtet. Dort werden einige Probleme des in den 80er Jahren entwickelten Kerberos aufgeführt. Die Attacke erfolgt über einen Man-in-the-Middle, der die eigentlich verschlüsselte Kommunikation beeinflussen kann.

Es gibt neben der Website einige aussagekräftige CVEs zum Problem: CVE-2017-8495 / KB-4022746 (Microsoft), CVE-2017-11103 (Heimdal), FreeBSD-SA-17:05 (FreeBSD). Samba hat hier seine Patch-Historie verlinkt.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.