:

Szerző: Bőle György

2002. október 25. 12:43

Kritikus biztonsági rést találtak a Kerberos azonosító rendszerekben

Kritikus biztonsági résre bukkantak a Kerberos biztonsági hálózati rendszerben, figyelmeztetett az Egyesült Államok kormányzata. A hibát kihasználva illetéktelenek juthatnak be az eddig biztonságosnak hitt rendszerekbe.

Kritikus biztonsági résre bukkantak a Kerberos biztonsági hálózati rendszerben, figyelmeztetett az Egyesült Államok kormányzata. A hibát kihasználva illetéktelenek juthatnak be az eddig biztonságosnak hitt rendszerekbe.

A Kerberos rendszert a Massachusettsi Technológiai Intézet (MIT) fejlesztette ki, s jelenleg számtalan nagy cég és hivatal használja saját hálózatának védelmére. A rendszer meglehetősen erős titkosítási algoritmusokat alkalmaz a hálózati erőforrásokat felhasználni kívánó számítógép, felhasználó azonosításához.

A figyelmeztetést az Energiaügyi Minisztérium "Computer Incident Advisory Capability" (CIAC) osztálya tette közzé szerdán az MIT-től kapott információk alapján. A hibát kihasználó támadó hozzáférhet a biztonsági kulcsokat kiosztó központhoz (KDC), mely központ a felhasználók azonosításáért és lényegében az egész rendszer biztonságáért felel.

A problémát a Kerberos 5 szoftver kadmind4 (Kerberos v4 compatibility administration daemon) modulja okozza, mely régebbi kliensekkel is kompatibilis. Egy szinte már szokványosnak számító buffer-túlcsordulással és egy speciálisan formázott utasítással a támadó hozzáférhet a KDC-hez, a kadmind4-et futtató felhasználó jogosultságaival. Mivel ez többnyire a "root" vagy egy magas szintű felhasználó, a támadó lényegében bármit megtehet a KDC-vel, megváltoztathatja a szoftvert vagy kódot futtathat a gépen.

A hiba érinti az MIT által készített összes Kerberos 5 rendszert, az 5-1.2.6. verziót is. A régebbi, Kerberos 4-ből származó rendszerek is érintettek lehetnek. A biztonsági rést befoltozó patch már letölthető a CIAC oldaláról.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

7

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.