Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1347

[Generic/Kerberos] MIT behebt mehrere Kerberos-Schwachstellqen
(2007-01-10 11:43:55.343298+00)

Quelle: http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2006-002-rpc.txt

Mehrere Schwachstellen im Administrationswerkzeug kadmind für Kerberos v5 können zur Ausführung beliebigen Programmcodes mit den Privilegien des kadmind auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung ausgenutzt werden. Da kadmind üblicherweise root-Privilegien besitzt, kann dieser Umstand bei Ausnutzung zur Kompromittierung des beherbergenden Rechnersystems führen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Auswirkung
Ausführung beliebigen Programmcodes mit administrativen Privilegien auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung
(remote system compromise)

Typ der Verwundbarkeit
Benutzung eines Zeigers, der auf bereits freigegebenen Speicher zeigt
(pointer to freed memory)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das Massachusetts Institute of Technology (MIT) stellt einen Patch zur Behebung mehrerer Schwachstellen im kadmin-Administrationswerkzeug des Netzwerkauthentifizierungsdienstes Kerberos v5 bereit. Die Schwachstellen können mittels eines Funktionsaufrufs durch einen RPC-Call von einem Angreifer zur Ausführung beliebigen Programmcodes über eine Netzwerkverbindung mit den Privilegien des kadmind auf dem beherbergenden Rechnersystem ausgenutzt werden. Da kadmind üblicherweise root-Privilegen besitzt, kann dies zur Komprommittierung des beherbergenden Rechnersystems führen.

Betreibern der genannten Versionen wird daher dringend empfohlen, den vom MIT veröffentlichten Patch oder die nicht verwundbare Version krb5-1.5.2 zu installieren.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu dieser Meldung

Revisonen dieser Meldung

(ag)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1347