[Generic/OpenSSH] Problem in Kerberos-V-Unterstützung
(2001-11-20 14:52:37+00)
Quelle:
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=100619096722825&w=2
In der vor kurzem eingeführten Kerberos-V-Unterstützung von OpenSSH ist ein Fehler enthalten, der dazu führt, daß die Authorisierung von Benutzern nicht korrekt durchgeführt wird.
Betroffene Systeme
- OpenSSH 2.9.9 und 3.0. mit aktivierter Kerberos-V-Unterstützung
Einfallstor
SSH-Verbindungen (TCP Port 22)
Auswirkung
Zugriff auf Accounts ohne entsprechende Privilegien möglich.
Typ der Verwundbarkeit
Fehler im Kontrollfluß
Gefahrenpotential
hoch (falls Kerberos-V-Unterstützung aktiviert ist)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
In der Routine, die die Kerberos-Authentifizierung in OpenSSH vornimmt, ist ein Fehler entdeckt worden: Einige Schritte bei der Kerberos-V-Authentifizierung und -Authorisierung werden nicht daraufhin überprüft, ob sie fehlschlagen. Bei aktivierter Kerberos-V-Unterstützung ist daher ein Angreifer möglicherweise in der Lage, sich ohne entsprechende Rechte bzw. Paßwörter auf Accounts einzuloggen.
Gegenmaßnahmen
- Update auf die neuste Version von OpenSSH.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=576