13. 08. 2014
Kerberos je síťový autentizační protokol, který umožňuje komunikujícím stranám se vzájemně autentizovat v nezabezpečené síti za použití důvěryhodné třetí strany.

Charakteristika zranitelnosti a dopad zranitelnosti

Zranitelnost CVE-2012-1016 je způsobena nekorektním zacházením s vytvořenými Draft 9 žádostmi. Vzdálený útočník by mohl použít tuto chybu k pádu démona, což má za následek odmítnutí služby. Tato chyba má vliv pouze na Ubuntu 12.04 LTS.

Další zranitelnost CVE-2013-1415 v protokolu Kerberos se vyznačuje nesprávnou manipulací s chybnými KRB5_PADATA_PK_AS_REQ žádostmi. Vzdálený útočník může využitím této chyby způsobit pád démona a následné odmítnutí služby. Tato chyba má vliv na Ubuntu 10.04 LTS a Ubuntu 12.04 LTS.

Zranitelnost CVE-2013-1416 je způsobena nesprávnou manipulací s určitými TGS-REQ žádostmi. Využití této chyby způsobí pád démona, jehož následkem je odmítnutí služby. Tento problém má vliv pouze na Ubuntu 10.04 LTS a Ubuntu 12.04 LTS.

Zranitelnosti CVE-2013-1418 a CVE-2013-6800 jsou způsobené nesprávnou manipulací protokolu Kerberos s vytvořenými žádostmi, které byly nakonfigurovány pro více oblastí. Chyba může způsobit pád démona, jehož následkem může být odmítnutí služby. Tento problém má pouze vliv na Ubuntu 10.04 LTS a Ubuntu 12.04 LTS.

U zranitelností CVE-2014-4341 a CVE-2014-4342 bylo zjištěno, že Kerberos nesprávně manipuloval s některými neplatnými tokeny. Tato chyba by mohla být zneužita útočníkem k „Man in the Middle“ útoku.

U zranitelnosti CVE-2014-4343 bylo zjištěno, že Kerberos nesprávně manipuluje s mechanizmy, které používá s mechanizmem SPNEGO. Tento mechanizmus je používán pro vyjednávání komunikace mezi serverem a klientem. V případě, že by útočník dokázal této chyby využít k „Man in the Middle“ útoku, může dojít k ukončení klienta, což má za následek odmítnutí služby.

Další chyba CVE-2014-4344 v protokolu Kerberos byla způsobena nesprávnou manipulací s klíči v průběhu vyjednávacího mechanizmu SPNEGO. Využití této chyby by mělo za následek odmítnutí služby.

Zranitelnost CVE-2014-4345 je způsobena nesprávnou manipulací Kerberos Kadmind démona s vyrovnávací pamětí při použití služby LDAP. Chyba může mít za následek odmítnutí služby, případně spuštění libovolného kódu útočníkem.

Postižené systémy

  • Ubuntu 14.04 LTS
  • Ubuntu 12.04 LTS
  • Ubuntu 10.04 LTS

Řešení

Tyto problémy lze vyřešit aktualizací systému na novější verze balíčků více zde.

CVE

CVE-2012-1016, CVE-2013-1415, CVE-2013-1416, CVE-2013-1418, CVE-2013-6800, CVE-2014-4341, CVE-2014-4342, CVE-2014-4343, CVE-2014-4344, CVE-2014-4345

Odkazy

http://www.ubuntu.com/usn/usn-2310-1/