Összefoglaló
A Kerberos sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
Leírás
A sérülékenységet a “check_1_6_dummy()” függvényben (src/lib/kadm5/srv/svr_principal.c) jelentkező NULL mutató hivatkozás feloldási hiba okozza. Ez kihasználható összeomlás előidézésére egy create-principal kérés segítségével, ha az nem tartalmaz jelszót, viszont a KRB5_KDB_DISALLOW_ALL_TIX flag be van állítva.
A sérülékenység sikeres kihasználása “create” jogosultsággal rendelkező adminisztrátori fiókot (account) igényel.
A sérülékenység az 1.10.2 előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: web.mit.edu
CVE-2012-1013 - NVD CVE-2012-1013
SECUNIA 49346