Tre falle minano Kerberos

Nel celebre protocollo di sicurezza del MIT sono state scoperte tre vulnerabilità che, in certi casi, possono consentire ad un malintenzionato di scavalcare le restrizioni di sicurezza di un sistema remoto

Roma - Nel famoso protocollo di autenticazione Kerberos, utilizzato in numerosi sistemi operativi (inclusi Windows e Mac OS X) e prodotti per la sicurezza, sono state individuate tre vulnerabilità potenzialmente utilizzabili per compromettere la sicurezza di un sistema remoto.

La prima falla è contenuta nel demone Telnet (telnetd) di Kerberos 5, e può essere sfruttata da un aggressore per bypassare il meccanismo di autenticazione e accedere da remoto al sistema con privilegi elevati.

Le altre due falle, una contenuta nel demone di amministrazione e l'altra nella libreria GSS-API, possono essere sfruttate per attacchi di denial of service o per eseguire del codice da remoto. In quest'ultimo caso, però, l'aggressore deve già possedere un account valido al sistema.
I tre problemi interessano la versione 1.6 di Kerberos 5 e precedenti release, e sono stati corretti con la pubblicazione dei primi tre advisory del 2007. Sulle tre falle si vedano anche gli advisory di FrSIRT, Secunia e US-CERT.
22 Commenti alla Notizia Tre falle minano Kerberos
Ordina
  • Non solo Kerberos, anche Apache:
    Il sito di Forza Italia di Massa si è incautamente affidato ad Apache su Unix, anziché a soluzioni serie come IIS su Windows Server 2003, ed è stato defacciato!

    http://punto-informatico.it/f/m.aspx?m_id=1948390&...
    http://www.corriere.it/Primo_Piano/Politica/2007/0...
    http://whois.domaintools.com/forzaitaliamassa.com

    A bocca aperta

    Apache, Kerberos, Unix: groviere informatiche! PerplessoSorpresaDelusoIn lacrimeA bocca stortaCon la lingua fuoriFicosoA bocca aperta
    non+autenticato
  • Ma sei un fine umorista! Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato

  • - Scritto da:
    > Non solo Kerberos, anche Apache:
    > Il sito di Forza Italia di Massa si è
    > incautamente affidato ad Apache su Unix, anziché
    > a soluzioni serie come IIS su Windows Server
    > 2003, ed è stato
    > defacciato!
    >
    >http://punto-informatico.it/f/m.aspx?m_id=1948390&...
    >http://www.corriere.it/Primo_Piano/Politica/2007/0...
    >http://whois.domaintools.com/forzaitaliamassa.com
    > A bocca aperta
    >
    > Apache, Kerberos, Unix: groviere informatiche!
    >PerplessoSorpresaDelusoIn lacrimeA bocca stortaCon la lingua fuoriFicoso
    >A bocca aperta

    Ehi, qualcuno ci potrebbe anche credere! A bocca aperta
    non+autenticato
  • La tagline mi pare fuorviante, e forse questo ha favorito i flame sull'argomento: come descritto nell'articolo, le vulnerabilità sono state individuate nell'IMPLEMENTAZIONE MIT, NON nel design del protocollo (il che sarebbe una rogna ben peggiore per tutti).
  • stamattina,prima ancora di legger la notizia quindi, Ubuntu mi ha cortesemente informato che erano disponibili degli aggiornamenti,
    uno dei quali proprio su kerberos.

    i casi sono due:
    o PI è lento a pubblicare le notizie
    o gli sviluppatori di Linux sono aerei a corregger la falle.

    Newbie, inesperto

    nel frattempo, inizio a segnarmi quanti giorni ci vorranno altrove per riparare il danno...
    (a tappare gli ani son stati veloci, ma ora son curioso)

    bye
    Fan AmigaFan LinuxFan Apple
    non+autenticato

  • - Scritto da:

    > nel frattempo, inizio a segnarmi quanti giorni ci
    > vorranno altrove per riparare il
    > danno...
    > (a tappare gli ani son stati veloci, ma ora son
    > curioso)
    >
    > bye
    > Fan AmigaFan LinuxFan Apple

    eggià ... se no sai l'incremento di vendite della vasella !? FantasmaFantasmaFantasma
    non+autenticato
  • Mi sembra che non sia standard, credo che abbia delle differenze su cosa risponde il KDC alle richieste delle session key però non ne sono certo.

    Non di esprimo sulla sicurezza.
    non+autenticato
  • L'implementazione M$ di Kerberos NON è affetta da nessuno di questi tre bug !!!

    La cosa si poteva anche desumere dalle secrezioni di bile sui post dei trollari LINUX, non Te ne sei accorto ?

    Fantasma
    non+autenticato

  • - Scritto da:
    > Mi sembra che non sia standard, credo che abbia
    > delle differenze su cosa risponde il KDC alle
    > richieste delle session key però non ne sono
    > certo.
    >
    > Non di esprimo sulla sicurezza.

    Premetto che non sono l'apritore del thread.
    Chissà perchè di fronte ad un'affermazione come quella che ho quotato deve essere bollata come flame...forse il moderatore linaro di oggi ha la coda di paglia.

    E' UN DATO DI FATTO CHE L'IMPLEMENTAZIONE DI KERBEROS DI MS E' DIVERSA, FORSE NON MIGLIORE, MA DI SICURO NON AFFETTA DA QUESTI BUG!

    STUDIA MODERATORE, E IMPARA A RICONOSCERE I FLAME VERI.

    GRAZIE.
    non+autenticato
  • Kerberos è usato da Samba, il server X e Apache come minimo, vogliamo dirlo o si fa sempre due pesi due misure su P.I.? Scommetto che certe frasi sono scritte apposta per generare post su post (e click su click).A bocca storta
    non+autenticato

  • - Scritto da:
    > Kerberos è usato da Samba, il server X e Apache
    > come minimo, vogliamo dirlo o si fa sempre due
    > pesi due misure su P.I.? Scommetto che certe
    > frasi sono scritte apposta per generare post su
    > post (e click su click).
    >A bocca storta

    utilizzato in numerosi sistemi operativi (inclusi Windows e Mac OS X)

    quale parte non ti è chiara?
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > Kerberos è usato da Samba, il server X e Apache
    > > come minimo, vogliamo dirlo o si fa sempre due
    > > pesi due misure su P.I.? Scommetto che certe
    > > frasi sono scritte apposta per generare post su
    > > post (e click su click).
    > >A bocca storta
    >
    > utilizzato in numerosi sistemi operativi
    > (inclusi Windows e Mac OS
    > X)

    >
    > quale parte non ti è chiara?

    Via hai sparlato di Linux e di P.I. anche oggi contento?
    Non stritolare lo scroto su
    non+autenticato
  • Linux come lo si intende normalmente non è un sistema operativo, ma una piattaforma. Non facendo parte del kernel, kerberos non si può considerare integrato in Linux, ma nelle singole distribuzioni, ed elencarle tutte sarebbe un po' lunghetto Occhiolino

    - Scritto da:
    > Kerberos è usato da Samba, il server X e Apache
    > come minimo, vogliamo dirlo o si fa sempre due
    > pesi due misure su P.I.? Scommetto che certe
    > frasi sono scritte apposta per generare post su
    > post (e click su click).
    >A bocca storta
    non+autenticato

  • - Scritto da:
    > Linux come lo si intende normalmente non è un
    > sistema operativo

    non è vero, linux è un sistema operativo:
    http://www.linux.org/
    Linux is a free Unix-type operating system originally created by Linus Torval

    se poi nemmeno il linari sanno cosa è linux sono messi maluccio!
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > Linux come lo si intende normalmente non è un
    > > sistema operativo
    >
    > non è vero, linux è un sistema operativo:
    > http://www.linux.org/
    > Linux is a free Unix-type operating system
    > originally created by Linus
    > Torval
    >
    > se poi nemmeno il linari sanno cosa è linux sono
    > messi
    > maluccio!

    È semplicemente una questione di punti di vista. Se per sistema operativo intendi anche solo il kernel allora linux è un SO, altrimenti NO.

    Kerberos NON fa parte del kernel linux. All'utente finale non arriva il singolo kernel, ma una distribuzione completa contenente (qualche volta) kerberos.

    Si sarebbe potuto scrivere "e molte distribuzioni linux". Ma adesso non facciamone un dramma!
    non+autenticato
  • Ma cerchiamo di essere seri ogni tanto !!!

    Sarà anche vero che linux non include nel kernel Kerberos, ma quale sistema operativo moderno può prescindere da questo protocollo di autenticazione ?

    Ah, per la cronaca l'implementazione M$ di Kerboros non è affetta da nessuno di questi 3 bug, e nemmeno di uno molto grosso che fù scoperto un anno fà circa.

    Insomma, M$ batte MIT 4-0 !!!
    non+autenticato
  • > Sarà anche vero che linux non include nel kernel
    > Kerberos, ma quale sistema operativo moderno può
    > prescindere da questo protocollo di
    > autenticazione ?

    Tantissimi. Più di quanti tu creda.
    non+autenticato

  • - Scritto da:
    > Kerberos è usato da Samba, il server X e Apache
    > come minimo, vogliamo dirlo o si fa sempre due
    > pesi due misure su P.I.? Scommetto che certe
    > frasi sono scritte apposta per generare post su
    > post (e click su click).
    >A bocca storta

    Samba lo usa se ne hai bisogno, come Apache del resto. In quel caso, ma solo in quei casi può esser vulnerabile (da valutare ovviamente).

    Non che in automatico ne sia vulnerabile LINUX.

    Linux, di per se, è una piattaforma, con un insieme di programmi e demoni, che non impiega necessariamente Kerberos.
    non+autenticato

  • - Scritto da:
    > Kerberos è usato da Samba, il server X e Apache
    > come minimo, vogliamo dirlo o si fa sempre due
    > pesi due misure su P.I.? Scommetto che certe
    > frasi sono scritte apposta per generare post su
    > post (e click su click).
    >A bocca storta

    "utilizzato in numerosi sistemi operativi (inclusi Windows e Mac OS X)"

    Io davo per scontato che si stesse parlando di linux, visto che kerberos viene usato davvero in tante applicazioni linux....

    Saluti, MeDevil
  • Oggi l'update manager di Xubuntu mi ha proposto degli aggiornamenti di Kerberos relativi a queste advisory. Veloci!Sorride
    non+autenticato