Zwei Schwachstellen im Authentifizierungssystem MIT Kerberos können von einem Angreifer dazu ausgenutzt werden, das System in einen unbenutzbaren Zustand zu versetzen oder beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen. Patches zur Behebung der Schwachstellen stehen zur Verfügung.

Betroffene Systeme

• CVE-2008-0062:
  MIT Kerberos 5 Version 1.6.3 KDC (sowie frühere Versionen) mit Kerberos 4 Unterstützung
• CVE-2008-0063:
  MIT Kerberos 5 Version 1.6.3 KDC (sowie frühere Versionen) mit Kerberos 4 Unterstützung
• CVE-2008-0947:
  libgssrpc und kadmind, die in Kerberos 5 Version 1.4 bis einschließlich 1.6.3 enthalten sind
• CVE-2008-0948:
  libgssrpc und kadmind, die in Kerberos 5 Version 1.2.2 bis ausschließlich 1.3 enthalten sind, in Installationen, in denen in der Headerdatei kein Wert für FD_SETSIZE definiert ist. Dies scheint bei Systemen, die die GNU libc verwenden der Fall zu sein.

Einfallstor

• CVE-2008-0062:
  Speziell formulierte Kerberos-Nachricht
• CVE-2008-0063:
  Speziell formulierte Kerberos-Nachricht
• CVE-2008-0947:
  Senden einer speziellen RPC-Anfrage bei zahlreich geöffneten File Descriptors
• CVE-2008-0948:
  Senden einer speziellen RPC-Anfrage bei zahlreich geöffneten File Descriptors

Angriffsvoraussetzung

• CVE-2008-0062:
  Zugriff auf eine Netzwerkverbindung über die Nachrichten an ein betroffenes System gesandt werden können
  (network)
• CVE-2008-0063:
  Zugriff auf eine Netzwerkverbindung über die Nachrichten an ein betroffenes System gesandt werden können
  (network)
• CVE-2008-0947:
  Zugriff auf eine Netzwerkverbindung über die Nachrichten an ein betroffenes System gesandt werden können
  (network)
• CVE-2008-0948:
  Zugriff auf eine Netzwerkverbindung über die Nachrichten an ein betroffenes System gesandt werden können
  (network)

Angriffsvektorklasse

• CVE-2008-0062:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0063:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0947:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0948:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2008-0062:
  
  • Versetzen der Kerberos-Installation bzw. des beherbergenden Rechnersystems in einen unbenutzbaren Zustand
    (denial of service)
  • Unautorisiertes Erlangen von Information
    (information leak)
  • Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien
    (system compromise)
• CVE-2008-0063:
  Unautorisiertes Erlangen von Information
  (information leak)
• CVE-2008-0947:
  
  • Versetzen der Kerberos-Installation bzw. des beherbergenden Rechnersystems in einen unbenutzbaren Zustand
    (denial of service)
  • Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien
    (system compromise)
• CVE-2008-0948:
  
  • Versetzen der Kerberos-Installation bzw. des beherbergenden Rechnersystems in einen unbenutzbaren Zustand
    (denial of service)
  • Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien
    (system compromise)

Typ der Verwundbarkeit

• CVE-2008-0062:
  doppelter Aufruf der Funktion free()
  (double free bug)
• CVE-2008-0063:
  Benutzung eines uninitialisierten Puffers
  (uninitialized data bug)
• CVE-2008-0947:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-0948:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)

Gefahrenpotential

• CVE-2008-0062:
  sehr hoch
• CVE-2008-0063:
  mittel bis hoch, je nach dem, welche Daten erbeutet werden
• CVE-2008-0947:
  sehr hoch
• CVE-2008-0948:
  sehr hoch

Beschreibung

• CVE-2008-0062:
  Eine double free-Schwachstelle im MIT Kerberos 5 kann bei eingeschalteter krb4-Unterstützung von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Kerberos-Systems auszuführen oder das beherbergende Rechnersystem in einen unbenutzbaren Zustand zu versetzen. Dazu ist es ausreichend, wenn der Angreifer speziell formulierte Kerberos-Nachrichten an ein verwundbares System schickt.
• CVE-2008-0063:
  Eine Schwachstelle in der Verarbeitung von krb4-Nachrichten des MIT Kerberos 5 kann von einem Angreifer dazu ausgenutzt werden, unautorisiert Daten aus dem System auszulesen. Die Schwachstelle besteht in der fehlenden Initialisierung des verwendeten Puffers, der noch Daten von früheren Operationen enthalten kann. Es ist theoretisch denkbar, dass die dabei erbeutbaren Daten kryptographisches Schlüsselmaterial enthalten.
• CVE-2008-0947:
  Eine Pufferüberlaufschwachstelle in der RPC-Bibliothek des kadmin Servers kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen. Die Schwachstelle kann nur dann erfolgreich ausgenutzt werden, wenn gleichzeitig eine große Zahl von file descriptors geöffnet ist.
• CVE-2008-0948:
  Servers kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen. Die Schwachstelle kann nur dann erfolgreich ausgenutzt werden, wenn gleichzeitig eine große Zahl von file descriptors geöffnet ist und auf dem betroffenen System kein Wert für FD_SETSIZE in der Headerdatei definiert ist. Dies scheint bei Systemen, die die GNU libc verwenden (etwa Linux) der Fall zu sein, während offenbar z.B. Solaris 10 und Mac OS X 10.4 nicht betroffen sind.

Workaround

• CVE-2008-0062:
  nicht verfügbar
• CVE-2008-0063:
  nicht verfügbar
• CVE-2008-0947:
  Begrenzung der maximal öffenbaren file descriptors:
  1. Ermitteln Sie einen zulässigen Wert für FD_SETSIZE aus den Headerdateien der Installation
  2. Benutzen sie die Kommandos ulimit -n oder limit descriptors in der Kommandoshell, in der auch der kadmind gestartet wird, und begrenzen Sie die maximal zulässige Anzahl an geöffneten file descriptors auf den Wert von FD_SETSIZE oder weniger.
  3. Das beherbergende Betriebssystem wird nun zuverlässig verhindern, dass zu viele file descriptors geöffnet werden.
• CVE-2008-0948:
  Begrenzung der maximal öffenbaren file descriptors:
  1. Ermitteln Sie einen zulässigen Wert für FD_SETSIZE aus den Headerdateien der Installation
  2. Benutzen sie die Kommandos ulimit -n oder limit descriptors in der Kommandoshell, in der auch der kadmind gestartet wird, und begrenzen Sie die maximal zulässige Anzahl an geöffneten file descriptors auf den Wert von FD_SETSIZE oder weniger.
  3. Das beherbergende Betriebssystem wird nun zuverlässig verhindern, dass zu viele file descriptors geöffnet werden.

Gegenmaßnahmen

• CVE-2008-0062:
  Installation eines Patches (in PGP-signierter Form)
• CVE-2008-0063:
  Installation eines Patches (in PGP-signierter Form)
• CVE-2008-0947:
  Installation des im MIT krb5 Security Advisory 2008-002 bereitgestellten Patches
• CVE-2008-0948:
  Installation des im MIT krb5 Security Advisory 2008-002 bereitgestellten Patches

Vulnerability ID

• CVE-2008-0062, VU#895609
• CVE-2008-0063, VU#895609
• CVE-2008-0947, VU#374121
• CVE-2008-0948, VU#374121

Weitere Information zu diesem Thema

• CVE-2008-0062:
  MITKRB5-SA-2008-001: double-free, uninitialized data vulnerabilities in krb5kdc
• CVE-2008-0063:
  MITKRB5-SA-2008-001: double-free, uninitialized data vulnerabilities in krb5kdc
• CVE-2008-0947:
  MITKRB5-SA-2008-002: array overrun in RPC library used by kadmin
• CVE-2008-0948:
  MITKRB5-SA-2008-002: array overrun in RPC library used by kadmin

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/