Sicherheitslücken in MIT-Kerberos

Die Entwickler der Authentifizierungsanwendung MIT-Kerberos haben drei Sicherheitslücken entdeckt und behoben. Die Schwachstellen sind als kritisch eingestuft worden, mittlerweile liegen Patches von den meisten Distributoren vor.

Zwei der Schwachstellen (CVE-2007-2442 und CVE-2007-2443) erlauben es einem entfernten Angreifer, erweiterte Rechte zu erlangen oder aber mindestens den Schlüsselserver Kadmind der Kerberos-Implementation zum Absturz zu bringen. Zur Ausnutzung der dritten Schwachstelle (CVE-2007-2798), muss sich ein Angreifer beim betroffenen System, notfalls auch anonym, authentisieren. Die Schwachstellen resultieren aus Fehlern in der verwendeten RPC-Bibliothek.

Die Lücken haben Kerberos-Entwickler vom Massachusetts Institute of Technology (MIT) in den Advisories MITKRB5-SA-2007-004 und MITKRB5-SA-2007-005 veröffentlicht und werden als kritisch eingestuft. Daher wird eine rasche Aktualisierung empfohlen.

Aktualisierte Krb5-Pakete stehen mittlerweile für viele Linux-Distributionen bereit, unter anderem für Suse Linux Enterprise 10, Red Hat Enterprise Linux und Debian.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben