Kerberos többszörös sérülékenység

CH azonosító

CH-4003

Angol cím

Kerberos Multiple Vulnerabilities

Felfedezés dátuma

2010.11.30.

Súlyosság

Közepes

Érintett rendszerek

Kerberos
MIT

Érintett verziók

Kerberos 5.x

Összefoglaló

Több sérülékenységet találtak a Kerberos-ban, amiket kihasználva rosszindulatú felhasználók, valamint távoli támadók hamisításos támadásokat indíthatnak, továbbá megkerülhetik a biztonsági eszközöket.

Leírás

  1. A krb5 GSS-API alkalmazás nem megfelelően ellenőrzi a 2. verziójú (RFC 4121) DES session kulcsokat. Ezt kihasználva hamisítani lehet titkosítatlan, de integritás ellenőrzött GSS tokeneket. A hiba sikeres kihasználásához szükséges, hogy egy már létrehozott alkalmazás munkamenet DES session kulcsot használjon.
    A sérülékenység a krb-1.7 és újabb verziókat érinti,
  2. A krb5 alkalmazás nem megfelelően ellenőrzi a PAC aláírások ellenőrző összegét, amit kihasználva, emelt szintű jogosultságokat lehet szerezni a PAC-k hamisításával. A hiba sikeres kihasználásához szükséges, hogy a támadó hitelesítve legyen, és a KDC ne szűrje a kliens által küldött PAC adatokat, de hitelesítési döntéseket hozzon a PAC tartalomtól függően.
    A sérülékenység a krb-1.7 és újabb verziókat érint. A kizárólag krb5-1.8-at futtató rendszereket nem érinti a sérülékenység.
  3. Az MIT krb5 KDC helytelenül elfogadja az RFC 3961 kulcs deriváció ellenőrző összegeket is, amikor ellenőrzi a KrbFastArmoredReqs req-checksum-ot. Ezt kihasználva, ki lehet cserélni a felhasználó által küldött KrbFastReq-t egy másik KDC-REQ-re. A sérülékenység kihasználásához szükséges, hogy a használt armor key RC4 legyen.
    A sérülékenység a krb-1.7 és újabb verzióit érinti.
  4. Az MIT krb5 kliens helytelenül elfogadja az unkeyed ellenőrző összegeket is a SAM-2 preauthentication eljárásban, amit kihasználva, hamisítani lehet a prompt szöveget, vagy meg lehet változtatni a KDC-nek küldött választ.
    A sérülékenység a krb5-1.3 vagy újabb verziókat érinti.
  5. Az MIT krb5 helytelenül elfogadja az RFC 3961 kulcs deriváció ellenőrző összegeket is, amikor ellenőrzi a KRB-SAFE üzenetet. Ezt kihasználva hamisítani lehet ezeket a KRB-SAFE üzeneteket. A hiba sikeres kihasználásához szükséges, hogy egy már létező alkalmazás munkamenet egy RC4 session kulcsot használjon.
    A sérülékenység a krb5-1.3 vagy újabb verziókat érinti.
  6. Az MIT krb5 helytelenül elfogadja az RFC 3961 kulcs deriváció ellenőrző összegeket is, amikor elleneőrzi az AD-SIGNEDPATH hitelesítési adatokat. Ezt kihasználva, hamisítani lehet az AD-SIGNEDPATH aláírást és pl. saját készítésű “evidence” jegyeket lehet az S4U2Proxy-hoz használni. A hiba sikeres kihasználásához szükséges, hogy a támadó hitelesítve legyen, és ellenőrizzen egy legitim szolgáltatást, valamint a TGT kulcs RC4 legyen.
    A sérülékenység a krb5-1.8 és újabb verziókat érinti.
  7. Az MIT krb5 helytelenül elfogadja az RFC 3961 kulcs deriváció ellenőrző összegeket is, amikor elleneőrzi az AD-KDC-ISSUED hitelesítési adatokat. Ezt kihasználva, hamisítani lehet az AD-KDC-ISSUED aláírásokat authdata elemekhez. A hiba sikeres kihasználásához szükséges, hogy a támadó hitelesítve legyen, és a ticket RC4 kulcsot használjon.
    A sérülékenység a krb5-1.8 és újabb verziókat érinti.

Megoldás

Telepítse a javítócsomagokat