Szerző: Bőle György

2002. október 25. 12:43

Kritikus biztonsági rést találtak a Kerberos azonosító rendszerekben

Kritikus biztonsági résre bukkantak a Kerberos biztonsági hálózati rendszerben, figyelmeztetett az Egyesült Államok kormányzata. A hibát kihasználva illetéktelenek juthatnak be az eddig biztonságosnak hitt rendszerekbe.

Kritikus biztonsági résre bukkantak a Kerberos biztonsági hálózati rendszerben, figyelmeztetett az Egyesült Államok kormányzata. A hibát kihasználva illetéktelenek juthatnak be az eddig biztonságosnak hitt rendszerekbe.

A Kerberos rendszert a Massachusettsi Technológiai Intézet (MIT) fejlesztette ki, s jelenleg számtalan nagy cég és hivatal használja saját hálózatának védelmére. A rendszer meglehetősen erős titkosítási algoritmusokat alkalmaz a hálózati erőforrásokat felhasználni kívánó számítógép, felhasználó azonosításához.

A figyelmeztetést az Energiaügyi Minisztérium "Computer Incident Advisory Capability" (CIAC) osztálya tette közzé szerdán az MIT-től kapott információk alapján. A hibát kihasználó támadó hozzáférhet a biztonsági kulcsokat kiosztó központhoz (KDC), mely központ a felhasználók azonosításáért és lényegében az egész rendszer biztonságáért felel.

A problémát a Kerberos 5 szoftver kadmind4 (Kerberos v4 compatibility administration daemon) modulja okozza, mely régebbi kliensekkel is kompatibilis. Egy szinte már szokványosnak számító buffer-túlcsordulással és egy speciálisan formázott utasítással a támadó hozzáférhet a KDC-hez, a kadmind4-et futtató felhasználó jogosultságaival. Mivel ez többnyire a "root" vagy egy magas szintű felhasználó, a támadó lényegében bármit megtehet a KDC-vel, megváltoztathatja a szoftvert vagy kódot futtathat a gépen.

A hiba érinti az MIT által készített összes Kerberos 5 rendszert, az 5-1.2.6. verziót is. A régebbi, Kerberos 4-ből származó rendszerek is érintettek lehetnek. A biztonsági rést befoltozó patch már letölthető a CIAC oldaláról.

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 6. 01:25

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

SEMMI

7

Bemutatkozott a Nothing első igazi csúcsmobilja

2025. július 3. 11:59

A prémium modellnek szánt Nothing Phone 3 legegyedibb vonása a hátlapon található Glyph Matrix, amivel a tervezők célja a főképernyő előtt töltött idő csökkentése.