Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1008

[Generic/MIT Kerberos] Schwachstelle in kadmind4
(2002-10-25 14:31:54.810093+00)

Quelle: http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2002-002-kadm4.txt

Im Kerberos-4-Kompatibilitätsserver kadmind4 wurde eine kritische Schwachstelle entdeckt.

Betroffene Systeme

Einfallstor
Kerberos-4-Requests an kadmind4 (Port 751/TCP).

Auswirkung
Ein anonymer, nicht authentifizierter Angreifer kann über das Netz beliebigen Programmcode mit root-Rechten ausführen.
(remote root compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im Kerberos-4-Kompatibilitätsserver kadmind4 wurde eine kritische Schwachstelle entdeckt, die es einem Angreifer ermöglicht, ohne jegliche Authentifizierung beliebigen Programmcode mit root-Privilegien auszuführen. Damit diese Schwachstelle akut wird muß bei Kerberos 5 die Kerberos-4-Unterstützung aktiviert sein.

Da der Angriff sich gegen einen zentralen Dienst des Kerberos-Realms richtet, kann auf diese Weise das gesamte Realm kompromittiert werden.

Workaround

Gegenmaßnahmen

Vulnerability ID

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1008