Összefoglaló
A Kerberos esetében több sebezhetőség került nyilvánosságra. A hibák biztonsági megkötések megkerülését, adatszivárogtatást, szolgáltatásmegtagadási támadásokat, valamint jogosulatlan rendszerhozzáférést tehetnek lehetővé.
Leírás
A fejlesztők által jelezett sérülékenységek a következők:
– hiba a libgssapi_krb5 könyvtárban (gss_process_context_token() függvény)
– rendellenesség az XDR-adatok kezelésében.
– biztonsági rés a kadmind esetében
– sebezhetőség a “libgssrpc”-n belül.
Megoldás
A kiadott frissítések, patch-ek telepítése.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2014-5352 - NVD CVE-2014-5352
CVE-2014-9421 - NVD CVE-2014-9421
CVE-2014-9422 - NVD CVE-2014-9422
CVE-2014-9423 - NVD CVE-2014-9423
Egyéb referencia: web.mit.edu