Hệ thống xác thực Kerberos bị hổng nghiêm trọng Nguồn : quantrimang.com Các nhà phát triển hệ thống xác thực Kerberos của MIT vừa công bố bản vá lỗi dành cho một số lỗ hổng bảo mật nghi
Trang 1Hệ thống xác thực Kerberos bị hổng nghiêm trọng
Nguồn : quantrimang.com
Các nhà phát triển hệ thống xác thực Kerberos của MIT vừa công bố bản
vá lỗi dành cho một số lỗ hổng bảo mật nghiêm trọng trong hệ thống này, từng cho phép kẻ tấn công từ xa có thể đánh cắp thông tin nhạy cảm,
shutdown trái phép hệ thống, và thực thi mã độc hại
Trục trặc đầu tiên phát sinh đối với tính năng
KDC (Kerberos Key Distribution Center), và liên
quan tới cách thức KDC xử lý các truy vấn krb4 đến Kẻ tấn công có thể khai thác điểm yếu này
để phá vỡ hệ máy chủ KDC, thực thi mã độc và làm lộ bộ nhớ
Trục trặc thứ hai phát sinh trong cách thức KDC gửi phản hồi cho các truy vấn krb4 Sai sót này có thể bị khai thác để làm lộ bộ nhớ stack nhạy cảm thông qua một truy vấn krb4 được chế tạo đặc biệt
Các trường hợp khai thác thành công hai lỗ hổng trên đều đòi hỏi việc hỗ trợ krb4 phải được kích hoạt trong KDC Phiên bản bản krb4 mới hơn đã vô hiệu hóa mặc định tính năng này Theo MIT, hai lỗ hổng mới ảnh hưởng tới Kerberos
5 phiên bản 1.6.3 và cũ hơn
Lỗ hổng thứ ba nằm trong cách thức thư viện Kerberos RPC xử lý việc mở phần
mô tả một file Trong những tình huống nhất định, kẻ tấn công có thể gửi một số lượng lớn các kết nối RPC tới máy tính khiến cho bộ nhớ bị treo, và sau đó thực thi mã độc từ xa Lỗ hổng này ảnh hưởng tới Kerberos 5 phiên bản từ 1.2.2 tới 1.4, từ 1.4 tới 1.6.3
Hãng bảo mật Secunia cũng xếp các lỗ hổng trên ở mức "cực kỳ nghiêm trọng",
mức cảnh báo cao nhất