Несколько криптографических недостатков в Kerberos 4 протоколе

Дата публикации:
20.03.2003
Всего просмотров:
1250
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в Kerberos 4 протоколе. Пользователь, способный выполнять некоторые действия (доступ к общедоступному ключу, создание принципалов или контроль сетевого трафика) может создать мандат произвольного пользователя и действовать от его имени.

Криптографическая слабость в 4 версии Kerberos протокола (затрагивающая krb5), позволяет удаленному пользователю выполнять "chosen-plaintext attack", чтобы выполнить роль произвольного пользователя. MIT также сообщил, что другие криптографические слабости в MIT krb5 позволяют удаленному пользователю использовать "cut-and-paste attack", чтобы создать допустимые krb4 мандаты для неавторизованных клиентских принципалов, когда triple-DES ключи используются для krb4 сервисов.

Уязвимость обнаружена в krb5 до версии 1.3

Ссылки: MITKRB5-SA-2003-004: Cryptographic weaknesses in Kerberos v4

или введите имя

CAPTCHA