В Kerberos устранены две опасные уязвимости

В Kerberos устранены две опасные уязвимости

Устраненные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

В протоколе аутентификации Kerberos устранены две уязвимости, которые позволяют удаленному пользователю скомпрометировать целевую систему.

Первая уязвимость связана с тем, что функция kdc_handle_protected_negotiation(), которая обрабатывает одну из защищенных функций расширения протокола FAST, использует некорректный для создания контрольных сумм тип ключа. Злоумышленник может вызвать сбой в работе функции, которая отвечает за формирование контрольных сумм и освободить неинициализированный указатель.

Вторая уязвимость существует из-за того, что MIT krb5 KDC демон может при получении специально сформированного AS-REQ освободить неинициализированный указатель при обработке необычного AS-REQ, повредив, таким образом, динамическую память и вызвав некорректное завершение работы демона. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код, однако освобождение неинициализированных указателей значительно усложняет эту задачу.

Производитель рекомендует в кратчайшие сроки установить исправления.

С подробным описанием уязвимостей можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/427896.php

Кто завёл космические часы — и зачем нам вообще знать ответ?

Философско-научное размышление о границах познания, бессмысленных вопросах и странной привычке искать Смысл с большой буквы.