В Kerberos устранены две опасные уязвимости

image

Теги: уязвимость, патч

Устраненные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

В протоколе аутентификации Kerberos устранены две уязвимости, которые позволяют удаленному пользователю скомпрометировать целевую систему.

Первая уязвимость связана с тем, что функция kdc_handle_protected_negotiation(), которая обрабатывает одну из защищенных функций расширения протокола FAST, использует некорректный для создания контрольных сумм тип ключа. Злоумышленник может вызвать сбой в работе функции, которая отвечает за формирование контрольных сумм и освободить неинициализированный указатель.

Вторая уязвимость существует из-за того, что MIT krb5 KDC демон может при получении специально сформированного AS-REQ освободить неинициализированный указатель при обработке необычного AS-REQ, повредив, таким образом, динамическую память и вызвав некорректное завершение работы демона. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код, однако освобождение неинициализированных указателей значительно усложняет эту задачу.

Производитель рекомендует в кратчайшие сроки установить исправления.

С подробным описанием уязвимостей можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/427896.php


или введите имя

CAPTCHA
Суть вещей постигший
02-08-2012 16:36:58
Вроде важная новость, почему нигде кроме секлаба об этом больше не написали?
0 |
Гость
03-08-2012 08:59:08
Основной вопрос - применима ли указанная уязвимость к реализациям kerberos в Windows. Если нет, тогда вроде как ничего страшного (или есть ещё распространённые продукты, которые используют этот протокол?). Если да, тогда сначала должен быть патч от MS, истерия в интернетах начнётся только после него.
0 |