Kerberos ora Ŕ vulnerabile

Alcune delle pi¨ diffuse implementazioni del ben noto standard per l'autenticazione contengono una grave vulnerabilitÓ che potrebbe mettere a serio rischio la sicurezza di reti e server. Ecco di che si tratta

Kerberos ora Ŕ vulnerabileRoma - Kerberos, la nota e diffusissima tecnologia di autenticazione adottata da numerosi sistemi operativi e prodotti per la sicurezza, contiene una grave vulnerabilitÓ che potrebbe consentire ad un aggressore di guadagnare i privilegi di amministratore su di un sistema remoto.

Il centro governativo americano CERT ha pubblicato un avviso di sicurezza in cui si spiega che la falla consiste in un buffer overflow nel demone di amministrazione delle versioni 4 e 5 di Kerberos, inclusa la distribuzione krb5-1.2.6.

Il CERT sostiene che Ŕ giÓ stato trovato un modo per sfruttare la vulnerabilitÓ e lo stesso Massachusetts Institute of Technology (MIT), l'universitÓ che ha creato questo standard di sicurezza, ha avvertito che un exploit sta giÓ circolando per la Rete. Il CERT avverte pertanto tutti coloro che utilizzano prodotti basati su Kerberos di verificare immediatamente la loro eventuale vulnerabilitÓ: al momento pare che l'implementazione di Microsoft dello standard Kerberos sia immune al problema.
In questo bollettino il MIT fornisce alcuni suggerimenti su come correggere la falla.

Il team Computer Incident Advisory Capability (CIAC) del Dipartimento per l'Energia ha sottolineato la gravitÓ del problema spiegando come un potenziale aggressore non abbia bisogno di identificarsi su di un server per l'autenticazione per portare l'attacco: in seguito alla natura della vulnerabilitÓ, un cracker potrebbe infatti eseguire del codice a sua scelta su di un key distribution center (KDC) ed in seguito compromettere un database Kerberos.

Kerberos fu sviluppato nella metÓ degli anni '80 come parte del progetto Athena del MIT sotto la guida di Steve Miller e Clifford Neuman. Attualmente Ŕ arrivato alla versione 5 e rimane un punto fermo nel settore.
TAG: sicurezza
23 Commenti alla Notizia Kerberos ora Ŕ vulnerabile
Ordina
  • mentre voi state qui a trollare, sia prodotti microsoft che GNU hanno bug ovvio, ma la microsoft fa uscire la notizia parecchio tempo dopo la scoperta, e la patch arriva quando gli fa comodo, l'opensource, potendo essere modificato da tutti, viene "aggiustato" molto prima.

    E' il caso della falla della notizia:

    Mentre voi state ancora qui a trollare, mi è arrivata la notizia via e-mail da "debian-security" che la vulnerabilità è stata risolta. Tre giorni dopo la scoperta del bug.

    Se usassi kerberos, mi basterebbe questo comando:

    apt-get update && apt-get dist-upgrade

    per risolvere il problema.

    La microsoft è mai stata così tempestiva in una patch?

    Inoltre, dopo aver aggiornato i pacchetti, NON DEVO RIAVVIARE.

    Con i vostri bei server microsoft, potete fare un aggiornamento dei servizi senza riavviare il sistema?

    A me risulta di no, correggetemi se sbaglio.
    non+autenticato
  • Non riesco a capire come mai i nixari continuano a produrre programmi che dovrebbero proteggere le loro macchine (vedasi anche openssl) e li realizzano usando le parti anatomiche che usano per sedersi.

    che di è l'ennesima dimostrazione della continua discesa negli inferi dell'insicurezza, di sistemi che i vari nixari che infestano questo foruma ci spacciarci per strasicuri.
    A cosa è dovuto ciò semplice leggendo una recensione di un programma open, gli stessi autori indicavano come molte parti del codice erano solo abbozzate a causa della mancanza di tempo, e che risultavano sviluppate solo le parti a loro effettivamente utili ed anche queste non completamente testate, peccato che il programma veniva usato in ambito di rete e quindi molto suscettibile ad essere usato per acedere al sistema in caso di errore.

    /* *nix il modo migliore per vivere insicuri */
    non+autenticato


  • - Scritto da: findus
    > Non riesco a capire come mai i nixari
    > continuano a produrre programmi che
    > dovrebbero proteggere le loro macchine
    > (vedasi anche openssl) e li realizzano
    > usando le parti anatomiche che usano per
    > sedersi.

    Io non riesco a capire come mai pur utilizzando programmi secondo te fatti con il culo (così evito i giri di parole), i server unix sono più sicuri...

    ......
    > A cosa è dovuto ciò semplice leggendo una
    > recensione di un programma open, gli stessi
    > autori indicavano come molte parti del
    > codice erano solo abbozzate a causa della
    > mancanza di tempo, e che risultavano
    > sviluppate solo le parti a loro

    Cosa che può succedere benissimo anche con sw commerciali. Solo che tu non lo vieni a sapere...

    non+autenticato
  • > Io non riesco a capire come mai pur
    > utilizzando programmi secondo te fatti con
    > il culo (così evito i giri di parole), i
    > server unix sono più sicuri...

    Che sono più sicuri lo dici te.......
    non+autenticato
  • No, lo dice la M$ che li usa.
    Poi lo dice l'NSA, la CIA, il CERN, la NASA, il pentagono, etc.
    Già, perchè il gov. USA ha rilasciato a ciascun UNIX la cert. 4 di livello di sicurezza; ai sistemi win* nò!!!
    E mai riusciranno ad averla.
    non+autenticato


  • - Scritto da: BSD_like
    > No, lo dice la M$ che li usa.
    > Poi lo dice l'NSA, la CIA, il CERN, la NASA,
    > il pentagono, etc.
    > Già, perchè il gov. USA ha rilasciato a
    > ciascun UNIX la cert. 4 di livello di
    > sicurezza; ai sistemi win* nò!!!
    > E mai riusciranno ad averla.


    be e ora di rifare l'esame e mi sa che la certificazione di 4 livello cor tubo la riotenete.
    non+autenticato
  • Ma, invece di considerare se io sia o meno ripetitivo; dovresti considerare se ciò che ho scritto è vero o meno.
    Cmq altre volte ho/abbiamo messo in evidenza che il sw M$ è più densamente bug-ato dei sw UNIX. E come ho in quelle occasioni detto, ciò non significa assolutamente niente; basti considerare ad esempio che rispetto ad AIX il sw M$ su win* dovrebbe logicamente attendersi più densamente bug-ato. E ciò per vari motivi a cominciare dal diverso ambiente in cui quelle applicazioni sono rivolte. Un ambiente più user-friendly ha ovviamente delle applicazioni più densamente bug-ate di uno "user-espert". L'uso esclusivo di GUI rafiche comporta ovviamente codice più bug-ato di un'uso poco o nullo di shell grafiche e cosi via.
    Ma gli istituti citati, e la cert. di livello 4, non guardano assolutamente all'user-friendly e non considerano questa proprietà di un'o.s. come giustificante.
    non+autenticato
  • Evvabbé, lasciagliele usare quelle referenze che conosce. Tanto lo fa ad ogni post, ti stupisci che lo faccia anche in questo?

    Sarebbe come chiedere a zap di fare un post senza la parola "monopolio".

    - Scritto da: BSD_like
    > Ma, invece di considerare se io sia o meno
    > ripetitivo; dovresti considerare se ciò che
    > ho scritto è vero o meno.
    > Cmq altre volte ho/abbiamo messo in evidenza
    > che il sw M$ è più densamente bug-ato dei sw
    > UNIX. E come ho in quelle occasioni detto,
    > ciò non significa assolutamente niente;
    > basti considerare ad esempio che rispetto ad
    > AIX il sw M$ su win* dovrebbe logicamente
    > attendersi più densamente bug-ato. E ciò per
    > vari motivi a cominciare dal diverso
    > ambiente in cui quelle applicazioni sono
    > rivolte. Un ambiente più user-friendly ha
    > ovviamente delle applicazioni più densamente
    > bug-ate di uno "user-espert". L'uso
    > esclusivo di GUI rafiche comporta ovviamente
    > codice più bug-ato di un'uso poco o nullo di
    > shell grafiche e cosi via.
    > Ma gli istituti citati, e la cert. di
    > livello 4, non guardano assolutamente
    > all'user-friendly e non considerano questa
    > proprietà di un'o.s. come giustificante.
    non+autenticato
  • Allora, scusa, invece di usare quelle referenze, che sono di ist. gov. e sopra le parti; usiamo referenze M$, no?
    Ogni volta che vi si ricorda come quelle ist. considerino l'o.s. di casa M$, vi adirate.
    Aggiungete allora anche M$ tra quelle referenze e sicuramente una società al di sopra delle parti come Yahoo!!
    non+autenticato
  • > be e ora di rifare l'esame e mi sa che la
    > certificazione di 4 livello cor tubo la
    > riotenete.

    Prima di imparare ad usare i sistemi operativi, sarebbe meglio se tu imparassi l'italiano.


    non+autenticato


  • - Scritto da: TeX
    >
    >
    > - Scritto da: findus
    > > Non riesco a capire come mai i nixari
    > > continuano a produrre programmi che
    > > dovrebbero proteggere le loro macchine
    > > (vedasi anche openssl) e li realizzano
    > > usando le parti anatomiche che usano per
    > > sedersi.
    >
    > Io non riesco a capire come mai pur
    > utilizzando programmi secondo te fatti con
    > il culo (così evito i giri di parole), i
    > server unix sono più sicuri...

    più sicuri dove quando e perchè, ma se proprio i server che dovrebbero essere trà i più sicuri cioè quelli che conservano i vostri sw, sono stati più volte bucati.
    > ......
    > > A cosa è dovuto ciò semplice leggendo una
    > > recensione di un programma open, gli
    > stessi
    > > autori indicavano come molte parti del
    > > codice erano solo abbozzate a causa della
    > > mancanza di tempo, e che risultavano
    > > sviluppate solo le parti a loro
    >
    > Cosa che può succedere benissimo anche con
    > sw commerciali. Solo che tu non lo vieni a
    > sapere...
    >

    come .... ho sentito bene, guarda per questa volta ti perdono e non ti insulto, tengo a farti notare che i sw commerciali sono i più monitorati, esistono società e consulenti di sicurezza che con advisor ecc... su questi prodotti hanno fatto la loro fortuna, invece guarda caso con il sw open già svariate volte la comunità open ha tenuto nascosti buchi gravissimi, incazzandosi anche quando questa omerta veniva spezzata (vedasi caso ISS e il vermone per apache).
    non+autenticato


  • - Scritto da: isolitinixari
    .....
    > più sicuri dove quando e perchè, ma se

    Le referenze evito di postartele, altrimenti Darth Vader si incazza. Ma se guardi gli altri post le trovi....

    > proprio i server che dovrebbero essere trà i
    > più sicuri cioè quelli che conservano i
    > vostri sw, sono stati più volte bucati.

    Idem per i server M$....

    ......
    > > Cosa che può succedere benissimo anche con
    > > sw commerciali. Solo che tu non lo vieni a
    > > sapere...
    > >
    >
    > come .... ho sentito bene, guarda per questa
    > volta ti perdono e non ti insulto, tengo a
    > farti notare che i sw commerciali sono i più
    > monitorati, esistono società e consulenti di
    > sicurezza che con advisor ecc... su questi

    Infatti. E puntualmente M$ si incazza perchè queste società hanno divulgato i bug invece di avvisare la M$...

    O meglio perchè hanno avvisato la M$ _solo_ da 6 mesi prima di divulgare la notizia, senza dargli quindi il tempo di fare la patch....

    non+autenticato
  • Mi chiedo se Security through Obscurity non sarebbe stato meglio
    non+autenticato
  • Insecurity Through Obscurity ?

    E` una falla da remoto, vuol dire che una persona con pazienza lo può scoprire tranquillamente senza bisogno di sorgenti.
    A dirla breve se nessuno se ne era ccorto finora guardando i sorgenti vuol dire che probabilmente se ne sono accorti semplicemente testanto il demone che girava senza guardarli proprio i sorgenti.
    non+autenticato
  • Qualcuno sa quali sono i sw interessati alla falla? Come faccio a scoprire se c'ho Kerberos?
    non+autenticato
  • Se lo usi lo sai!
    Normalmente non lo usi!
    Se hai win2000 in su lo usi (ma sembra che stavolta MS non sia vulnerabile.
    non+autenticato
  • per una volta non sarà la microsoft a beccarsi del coglione da tutti
    non+autenticato
  • Anche Microsoft usa Kerberos, anche se leggermente fuori standard, tanto per cambiare, come protocollo di autenticazione.
    Il bollettino credo si riferisca a una implementazione Linux... ma scommetto che a Redmond hanno fatto copia e incolla della stessa roba (solo che il LORO codice non lo puoi vedere!)
    non+autenticato


  • - Scritto da: Q
    > Anche Microsoft usa Kerberos, anche se
    > leggermente fuori standard, tanto per
    > cambiare, come protocollo di autenticazione.

    Si ma si sa già come è stato "esteso".

    > Il bollettino credo si riferisca a una
    > implementazione Linux...

    E credi male, il bollettino riguarda il MIT kerberos versioni 4 e 5 che gira su tutte le piattaforme *nix compreso anche Linux ma le installazioni più grandi di kerberos non sono su macchine Linux.
    Per la cronaca MIT Kerberos è nato prima che nascesse Linux.

    > ma scommetto che a
    > Redmond hanno fatto copia e incolla della
    > stessa roba (solo che il LORO codice non lo
    > puoi vedere!)

    Dicono che non sono vulnerabile, vedremo, ma nel frattempo non lo sono. (E` ovvio che abbiano usato codice del MIT visto che la licenza lo permette e che abbiano sviluppato l'implementazione iniziale di quello che è finito su w2k proprio insieme al MIT).

    non+autenticato
  • Troveranno il modo. Anche se la cosa dovesse andare contro a ogni regola di logica conosciuta. Non porre limiti alla provvidenza.

    - Scritto da: cippa
    > per una volta non sarà la microsoft a
    > beccarsi del coglione da tutti
    non+autenticato