Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en teknisk skribent, en it-säkerhetsspecialist och en övningskoordinator till CERT-SE, alla centrala roller i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 29 maj, 31 maj respektive den 5 juni.

Uppdaterad | Publicerad - Sårbarhet, krypto

SR08-105 MIT Kerberos - Flera sårbarheter

Sårbarheter i Kerberos Key Distribution Center (KDC) och RPC-bibliotek kan medge informationsläckage och potentiellt kodexekvering.

Problembeskrivning

CVE-referens: CVE-2008-0062 CVE-2008-0063 CVE-2008-0947 CVE-2008-0948

Ett flertal sårbarheter i MIT Kerberos har upptäckts - två i KDC och två i ett RPC-biblioteket som används av kadmind.

Sårbarheterna i KDC kan medge att potentiellt känsligt minne kan läcka, att ett system kan krasha eller att godtycklig kod kan exekveras. För att bristerna skall blottas krävs att krb4-stöd är aktiverat i KDC, något som ej är standard i senare versioner.

Sårbarheterna i RPC-biblioteket beror på en bristfällig hantering av öppna fildeskriptorer. En angripare kan potentiellt förvanska minne genom att öppna ett stort antal RPC-kopplingar mot ett sårbart system. Ett troligt resultat, enligt MIT, är att systemet kraschar, men teoretiskt sett finns en möjlighet för exekvering av kod.

Påverkade versioner

  • MIT Kerberos 5 versions 1.6.3 och tidigare

Mer information och programrättningar

http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2008-001.txt

http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2008-002.txt