Sicherheitslücke in Kerberos
Die Entwickler von Kerberos am Massachusetts Institute of Technology [MIT] warnen in einer Aussendung vor einer Sicherheitslücke in ihrem Online-Identifizierungssystem.
Durch einen "Buffer Overflow" in Kerberos können Angreifer Zugang zu einem Key Distribution Center [KDC] erlangen.
Warnung und PatchDie Warnung wurde inzwischen auch vom Beratungsgremium des US-Energieministeriums, Computer Incident Advisory Capabilities [CIAC], aufgegriffen.
CIACExploit im Umlauf
Der Fehler liegt in der Implementation des "Kerberos v4 Compatibility Administration Daemon" [kadmind4] im MIT krb5, der die Kommunikation mit älteren Client-Seiten ermöglicht.
Für einen erfolgreichen Angriff muss sich ein Angreifer nach Angaben der Kerberos Entwickler nicht bei dem Daemon anmelden. Ein Exploit für die Schwachstelle soll sich bereits im Umlauf befinden.
Betroffen von der Sicherheitslücke sind alle aktuellen Versionen von MIT Kerberos 5 einschließlich dem letzten Release krb5-1.2.6 sowie MIT Kerberos 4. Das MIT-Team hat mit seinem Advisory auch gleich einen Patch zur Verfügung gestellt.