Mehrere Schwachstellen in der Authentifizierungs-Suite Kerberos des Michigan Insitute of Technology (MIT) können von Angreifern dazu ausgenutzt werden, den Kerberos Administration Daemon (kadmin) oder das Key Distribution Center (KDC) zum Absturz zu bringen oder beliebigen Programmcode auf dem beherbergenden System auszuführen.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema

Zusammenfassung

• CVE-2009-0846:
  

  Betroffen:	Versionen vor MIT krb5-1.7 bzw. MIT krb5-1.6.4
  Nicht betroffen:	MIT krb5-1.7, MIT krb5-1.6.4
  Einfallstor:	ASN.1 encoding
  Angriffsvoraussetzung:	network
  Angriffsvektorklasse:	remote
  Auswirkung:	system compromise
  Typ:	Speicherverletzung
  Gefahrenpotential:	sehr hoch
  Workaround:	nein
  Gegenmaßnahmen:	Patch
  Vulnerability ID:	CVE-2009-0846

• CVE-2009-0844:
  

  Betroffen:	MIT krb5-1.5 und später
  Nicht betroffen:	MIT krb5 vor Version 1.5, MIT krb5-1.7, MIT krb5-1.6.4
  Einfallstor:	Token über die GSSAPI
  Angriffsvoraussetzung:	network
  Angriffsvektorklasse:	remote
  Auswirkung:	DoS
  Typ:	Speicherverletzung
  Gefahrenpotential:	mittel
  Workaround:	nein
  Gegenmaßnahmen:	Patch
  Vulnerability ID:	CVE-2009-0844

• CVE-2009-0845:
  

  Betroffen:	MIT krb5-1.5 und später
  Nicht betroffen:	MIT krb5 vor Version 1.5, MIT krb5-1.7, MIT krb5-1.6.4
  Einfallstor:	Token über die GSSAPI
  Angriffsvoraussetzung:	network
  Angriffsvektorklasse:	remote
  Auswirkung:	DoS
  Typ:	Speicherverletzung
  Gefahrenpotential:	mittel
  Workaround:	nein
  Gegenmaßnahmen:	Patch
  Vulnerability ID:	CVE-2009-0845

• CVE-2009-0847:
  

  Betroffen:	MIT krb5
  Nicht betroffen:	MIT krb5-1.7, MIT krb5-1.6.4
  Einfallstor:	ASN.1 encoding
  Angriffsvoraussetzung:	network
  Angriffsvektorklasse:	remote
  Auswirkung:	DoS
  Typ:	Speicherverletzung
  Gefahrenpotential:	mittel
  Workaround:	nein
  Gegenmaßnahmen:	Patch
  Vulnerability ID:	CVE-2009-0847

Betroffene Systeme

• CVE-2009-0846:
  
  • MIT krb5, alle Versionen
  • Applikationen Dritter, die die krb5-Bibliothek verwenden
• CVE-2009-0844:
  
  • kadmind in MIT krb5-1.5 und spätere Versionen
  • der FTP daemon in MIT krb5-1.5 und späteren Versionen
  • Applikationen Dritter, die die GSSAPI von krb5-1.5 und früherer Versionen nutzen
• CVE-2009-0845:
  
  • kadmind in MIT krb5-1.5 und spätere Versionen
  • der FTP daemon in MIT krb5-1.5 und späteren Versionen
  • Applikationen Dritter, die die GSSAPI von krb5-1.5 und früherer Versionen nutzen
• CVE-2009-0847:
  
  • kinit und das Key Distribution Center (KDC) in krb5-1.6.3

Nicht betroffene Systeme

• CVE-2009-0846:
  
  • MIT krb5-1.7
  • MIT krb5-1.6.4
• CVE-2009-0844:
  
  • MIT krb5-1.7
  • MIT krb5-1.6.4
• CVE-2009-0845:
  
  • MIT krb5-1.7
  • MIT krb5-1.6.4
• CVE-2009-0847:
  
  • MIT krb5-1.7
  • MIT krb5-1.6.4
  • kinit und das Key Distribution Center (KDC) in Versionen vor krb5-1.6.3

Einfallstor

• CVE-2009-0846:
  ASN.1-kodierte Daten
• CVE-2009-0844:
  Token über die GSSAPI
• CVE-2009-0845:
  Token über die GSSAPI
• CVE-2009-0847:
  ASN.1-kodierte Daten

Angriffsvoraussetzung

• CVE-2009-0846:
  Zugriff auf ein Netzwerk über das Daten an ein Kerberos-System gesandt werden können
  (network)
• CVE-2009-0844:
  Zugriff auf ein Netzwerk über das Daten an ein Kerberos-System gesandt werden können
  (network)
• CVE-2009-0845:
  Zugriff auf ein Netzwerk über das Daten an ein Kerberos-System gesandt werden können
  (network)
• CVE-2009-0847:
  Zugriff auf ein Netzwerk über das Daten an ein Kerberos-System gesandt werden können
  (network)

Angriffsvektorklasse

• CVE-2009-0846:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0844:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0845:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0847:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2009-0846:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
  (system compromise)
• CVE-2009-0844:
  Versetzen der Applikation in einen unbenutzbaren Zustand
  (denial of service)
• CVE-2009-0845:
  Versetzen der Applikation in einen unbenutzbaren Zustand
  (denial of service)
• CVE-2009-0847:
  Versetzen der Applikation in einen unbenutzbaren Zustand
  (denial of service)

Typ der Verwundbarkeit

• CVE-2009-0846:
  Speicherverletzung
  (memory corruption)
• CVE-2009-0844:
  Speicherverletzung
  (memory corruption)
• CVE-2009-0845:
  Speicherverletzung
  (memory corruption)
• CVE-2009-0847:
  Speicherverletzung
  (memory corruption)

Gefahrenpotential

• CVE-2009-0846:
  sehr hoch
• CVE-2009-0844:
  mittel
• CVE-2009-0845:
  mittel
• CVE-2009-0847:
  mittel

Beschreibung

• CVE-2009-0846:
  Eine Schwachstelle in den Routinen zur Verarbeitung von ASN.1-kodierten Daten, des Authentifizierungssystems Kerberos5 des Massachusetts Institute of Technology (MIT) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien der entsprechenden Kerberos-Applikation, einschließlich des Kerberos Administration Daemon (kadmin) auf dem beherbergenden System auszuführen. Da diese Anwendungen i.A. mit den root-Privilegien (UID=0) laufen, führt die erfolgreiche Ausnutzung der Schwachstelle unmittelbar zur Kompromittierung des beherbergenden Systems.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend, wenn der Angreifer in der Lage ist, entsprechende Daten an das Kerberos-System zu senden. Da Kerberos zur Authentifizierung von Benutzern dient, ist die Erreichbarkeit des Systems prinzipbedingt sehr hoch.

• CVE-2009-0844:
  Eine Schwachstelle in der Implementierung der GSSAPI kann von einem Angreifer dazu ausgenutzt werden, Kerberos bzw. das beherbergende System zum Absturz zu bringen, bzw. in einen unbenutzbaren Zustand zu versetzen.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend, wenn der Angreifer in der Lage ist, entsprechende Daten an das Kerberos-System zu senden. Da Kerberos zur Authentifizierung von Benutzern dient, ist die Erreichbarkeit des Systems prinzipbedingt sehr hoch.

• CVE-2009-0845:
  Eine Schwachstelle in der Implementierung der GSSAPI kann von einem Angreifer dazu ausgenutzt werden, Kerberos bzw. das beherbergende System zum Absturz zu bringen, bzw. in einen unbenutzbaren Zustand zu versetzen.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend, wenn der Angreifer in der Lage ist, entsprechende Daten an das Kerberos-System zu senden. Da Kerberos zur Authentifizierung von Benutzern dient, ist die Erreichbarkeit des Systems prinzipbedingt sehr hoch.

• CVE-2009-0847:
  Eine Schwachstelle in den Routinen zur Verarbeitung von ASN.1-kodierten Daten, des Authentifizierungssystems Kerberos5 des Massachusetts Institute of Technology (MIT) kann von einem Angreifer dazu ausgenutzt werden, Kerberos bzw. das beherbergende System zum Absturz zu bringen, bzw. in einen unbenutzbaren Zustand zu versetzen.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend, wenn der Angreifer in der Lage ist, entsprechende Daten an das Kerberos-System zu senden. Da Kerberos zur Authentifizierung von Benutzern dient, ist die Erreichbarkeit des Systems prinzipbedingt sehr hoch.

Gegenmaßnahmen

• CVE-2009-0846:
  
  • Installation eines Patches (PGP-Signatur)
  • Installation von MIT krb5-1.7, sobald verfügbar
  • Installation von MIT krb5-1.6.4, sobald verfügbar
• CVE-2009-0844:
  
  • Installation eines Patches (PGP-Signatur)
  • Installation von MIT krb5-1.7, sobald verfügbar
  • Installation von MIT krb5-1.6.4, sobald verfügbar
• CVE-2009-0845:
  
  • Installation eines Patches (PGP-Signatur)
  • Installation von MIT krb5-1.7, sobald verfügbar
  • Installation von MIT krb5-1.6.4, sobald verfügbar
• CVE-2009-0847:
  
  • Installation eines Patches (PGP-Signatur)
  • Installation von MIT krb5-1.7, sobald verfügbar
  • Installation von MIT krb5-1.6.4, sobald verfügbar

Vulnerability ID

• CVE-2009-0846
• CVE-2009-0844
• CVE-2009-0845
• CVE-2009-0847

Weitere Information zu diesem Thema

• MIT Kerberos Homepage
• CVE-2009-0846:
  MIT krb5 Security Advisory 2009-002
• CVE-2009-0844:
  MIT krb5 Security Advisory 2009-001
• CVE-2009-0845:
  MIT krb5 Security Advisory 2009-001
• CVE-2009-0847:
  MIT krb5 Security Advisory 2009-001

Weitere Artikel zu diesem Thema:

• [Generic/VMware] Schwachstelle in der ESX Service Console (2009-07-02)
  Eine Schwachstelle in der Kerberos5-Komponente der der Virtualisierungssoftware VMware ESX kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf der ESX-Installation mit administrativen Privilegien auszuführen. Die Schwachstelle wurde bereits im April 2009 generisch beschrieben, VMware stellt nun Patches zu ihrer Behebung bereit.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/