Die Entwickler der Authentifizierungsanwendung MIT-Kerberos haben drei Sicherheitslücken entdeckt und behoben. Die Schwachstellen sind als kritisch eingestuft worden, mittlerweile liegen Patches von den meisten Distributoren vor.
Zwei der Schwachstellen (CVE-2007-2442 und CVE-2007-2443) erlauben es einem entfernten Angreifer, erweiterte Rechte zu erlangen oder aber mindestens den Schlüsselserver Kadmind der Kerberos-Implementation zum Absturz zu bringen. Zur Ausnutzung der dritten Schwachstelle (CVE-2007-2798), muss sich ein Angreifer beim betroffenen System, notfalls auch anonym, authentisieren. Die Schwachstellen resultieren aus Fehlern in der verwendeten RPC-Bibliothek.
Die Lücken haben Kerberos-Entwickler vom Massachusetts Institute of Technology (MIT) in den Advisories MITKRB5-SA-2007-004 und MITKRB5-SA-2007-005 veröffentlicht und werden als kritisch eingestuft. Daher wird eine rasche Aktualisierung empfohlen.
Aktualisierte Krb5-Pakete stehen mittlerweile für viele Linux-Distributionen bereit, unter anderem für Suse Linux Enterprise 10, Red Hat Enterprise Linux und Debian.





