Importantes vulnerabilidades en Kerberos 5 del MITSegún informa el US-CERT (United States Computer Emergency Readiness Team), han sido detectadas graves vulnerabilidades en la implementación del extensamente utilizado protocolo de autenticación Kerberos 5 del MIT (Massachusetts Institute of Technology).
Las más severas de las mismas, podrían ser explotadas por piratas informáticos en forma remota, para ejecutar código arbitrario en un centro de distribución de claves (Key Distribution Center, KDC).
Kerberos es un protocolo de seguridad muy difundido en servidores y otros componentes de software distribuido. Utiliza un servidor de autenticación, para validar las contraseñas y los esquemas de cifrado. Su nombre proviene de la mitología griega, donde "Kerberos" era el perro de tres cabezas que custodiaba la entrada al submundo del infierno (Hades).
Son afectados las versiones de Kerberos 5 implementadas por el MIT anteriores a la krb5-1.3.5, y aquellas aplicaciones que las utilizan, o que contienen código derivado de esta implementación.
Casi todas las vulnerabilidades están relacionados con la liberación de memoria heap de forma insegura. El término "heap" indica una porción de memoria disponible para un programa, también llamada área de memoria dinámica.
Un intruso remoto no autenticado podría ejecutar código arbitrario en un servidor KDC, lo cual llegaría a comprometer todo un "realm" de Kerberos (un conjunto de recursos como páginas web por ejemplo, cubiertos con el mismo par usuario / contraseña).
Esto afecta a servidores de aplicaciones, aplicaciones que utilizan bibliotecas de Kerberos y clientes de Kerberos. También se podrían provocar ataques de denegación de servicio (DoS) en casi todos los productos involucrados.
Varios fabricantes son afectados por éstas vulnerabilidades, y las respectivas actualizaciones serán anunciadas por los mismos (más información en los siguientes enlaces).
Referencias:
Vulnerability Note VU#795632
http://www.kb.cert.org/vuls/id/795632Vulnerability Note VU#866472
http://www.kb.cert.org/vuls/id/866472Vulnerability Note VU#350792
http://www.kb.cert.org/vuls/id/350792Vulnerability Note VU#550464
http://www.kb.cert.org/vuls/id/550464MIT krb5 Security Advisory 2004-002
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2004-002-dblfree.txtMIT krb5 Security Advisory 2004-003
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2004-003-asn1.txtKerberos: The Network Authentication Protocol
http://web.mit.edu/kerberos/www/Fuente de la alerta:
Vulnerabilities in MIT Kerberos 5
Original release date: September 3, 2004
http://www.us-cert.gov/cas/techalerts/TA04-247A.htmlPublicado en:
http://www.vsantivirus.com/vul-kerberos5-060904.htm
