Kerberos si lecca le ferite

Nelle scorse ore sono state divulgate due falle di sicurezza che potrebbero mettere a rischio i sistemi di autenticazione di rete di molte aziende. Patch raccomandata

Roma - All'interno di uno dei protocolli di autenticazione più utilizzati al mondo, Kerberos 5 del MIT, si celano due vulnerabilità di sicurezza giudicate dagli esperti piuttosto serie.

La prima vulnerabilità, del tipo cosiddetto "double-free", potrebbe essere utilizzata da un abile cracker per compromettere l'intera infrastruttura di autenticazione di una rete. Kerberos, infatti, si preoccupa di identificare ogni singolo utente e stabilire, fra le altre cose, chi ha le credenziali necessarie per accedere ad un sistema, area o servizio della rete.

Le vulnerabilità di tipo double-free vengono generate quando un programma tenta di liberare una zona di memoria che era già stata liberata: questo bug, seppure meno grave del classico buffer overrun, può essere sfruttato per eseguire codici malevoli e prendere il controllo del sistema.
Il team del MIT che sviluppa Kerberos ammette la gravità della falla ma sostiene che questa è particolarmente difficile da utilizzare e che, almeno per il momento, non si conosce l'esistenza di un exploit. Alcuni esperti di sicurezza hanno poi aggiunto che nessun worm ha mai tentato di far leva su una vulnerabilità di questo tipo.

Il secondo bug si trova invece nella libreria ASN.1 di Kerberos 5 e, seppure meno grave della precedente, gli esperti sostengono che potrebbe essere sfruttata con una certa facilità per bloccare il server di autenticazione.

Il MIT ha già rilasciato sul sito di Kerberos le patch ed è in attesa di rendere disponibile una nuova release del protocollo, la 1.3.5, che integri i due fix.

Kerberos viene utilizzato da un gran numero di software e di sistemi operativi, tra cui buona parte delle distribuzioni di Linux, vari Unix commerciali e Mac OS X: molte società nelle scorse ore hanno già rilasciato le opportune patch. Anche Microsoft si avvale di Kerberos per il servizio di autenticazione di Active Directory, tuttavia utilizza una propria implementazione che, stando a quanto comunicato dalla società, non è afflitta da questi problemi.
TAG: sicurezza
36 Commenti alla Notizia Kerberos si lecca le ferite
Ordina
  • E' evidente che in data 05.09.04
    i vari windows non sono certo i
    SO migliori e più a buon mercato.
    Purtroppo il pubblico paga per ognuna
    delle sue decine di migliaia di macchine
    basiche (per le altre molto di più)
    2-3 mensilità di pensione da vecchio
    o di assistenza handicap l'una SOLO di
    licenze d'acquisto, poi per i vari upgrade.
    Per non parlare poi del privato. Tutti questi
    enormi costi vanno a gravare sui prodotti
    che compriamo, sui servizi pubblici di cui
    usufruiamo, sulle tasse che paghiamo.
    Occorre iniziare a pensare che abitiamo
    in un paese povero, con un debito colossale
    e tanti altri difetti strutturali, e che, se vogliamo
    anche solo sopravvivere, dobbiamo trovare
    soluzioni nuove, anche per l'infrastruttura
    informatica, che siano efficenti e di basso costo,
    e ci permettano di smettere di buttare via montagne
    di denaro. Non possiamo più permetterci di regalare
    tanto denaro a chi già ne ha tanto.
    Tutti questi soldi devono, in parte
    essere risparmiati, in parte finire in aziende e
    professionisti italiani.
    non+autenticato
  • Non so com'è, ma i titoli che riguardano vulnerabilità scoperte nei progetti open hanno sempre titoli come minimo fantasiosi, quantomeno evocativi e sicuramente tendenziosi...

    Ora, non ho ancora letto a cosa si riferisce la vulnerabilità, quanto è grave e se è già conosciuto un exploit, ma di certo il pacchetto che la corregge è già installato in tutte le macchine che amministro da 2 giorni...

    inoltre l'impatto non credo proprio che possa essere come quello dell'n-esimo bel buco di IE6...

    aspetto di vedere il prossimo titolo che riguardi un advisory su winzozz...
  • Più semplicemente direi che il titolo fa riferimento al mitologico cane a tre teste Cerbero.Occhiolino
    non+autenticato

  • > aspetto di vedere il prossimo titolo che
    > riguardi un advisory su winzozz...

    sempre la solita sterile polemica...
    meno male che a questo post idiota non ha risposto nessuno(tranne me Sorride))) )
    non+autenticato
  • ho capito, sei Terruzzi Occhiolino
  • Ad un certo punto dell'articolo si parla di buffer overrun, penso devesse essere buffer overflow
    non+autenticato
  • Perchè non potrebbe essere un buffer overrun?
    non+autenticato
  • Puo' capitare a microsoft come puo' capitare a linux. La piantino certi invasati linuxari combattenti. Ne ho piene le scatole dei loro estremismi da guerra ideologica.
    non+autenticato

  • - Scritto da: Anonimo
    > Puo' capitare a microsoft come puo' capitare
    > a linux. La piantino certi invasati linuxari
    > combattenti. Ne ho piene le scatole dei loro
    > estremismi da guerra ideologica.

    E io ho piene le scatole di gente che parla dei bugs dei programmi di Microsoft e di quelli dei software che GIRANO su linux, come se fossero la stessa cosa.

    1. Almeno il 70% dei bugs trovati nei progs che girano su linux, non sono sfruttabili dal primo script kiddie che sbatte in un server vulnerabile ( non si può dire lo stesso per la controparte di Redmond, dato che è pieno in giro di wizard per fare virus, ad esempio...).E non sono i virus che giravano anni fa, questi prendono di mira e sfruttano quasi esclusivamente bachi di outlook, oppure qualche bel servizio "esotico"...

    2. Nel mondo open source ( non sto parlando solo di linux...) il bug viene scoperto, reso pubblico e corretto nel giro di pochi giorni o settimane.Alla Microsoft se ne escono fuori solo quando la patch è pronta, e visto che le release di Windows sono ferme da anni, questo ci fa capire da quanto tempo quei bugs appestano l' O.S.

    Per il resto si può disquisire se sia migliore un O.S. free ed opensource od uno a pagamento e closed, ognuno ha i suoi punti di vista, ma per quanto riguarda la questione dei bugs non transigo...
    ;)
    non+autenticato
  • E' proprio vero voi linuxari adesso ci avete rotto.... E' chiaro?
    non+autenticato

  • - Scritto da: Anonimo
    > E' proprio vero voi linuxari adesso ci avete
    > rotto.... E' chiaro?

    Prrrrrrtttt....

    Detto questo.... guarda che Kerberos è stato copiato anche da Microsoft. Il che vuol dire che i casi sono 2:

    1) La vulnerabilità esiste anche in Windows ma Microsoft se ne frega.

    2) Microsoft copia del codice open, si accorge di alcuni bug, li corregge ma si guarda bene dall'avvertire gli autori del codice.

    In entrambi i casi direi che non ci fa una gran bella figura....
    non+autenticato
  • > E io ho piene le scatole di gente che parla
    > dei bugs dei programmi di Microsoft e di
    > quelli dei software che GIRANO su linux,
    > come se fossero la stessa cosa.

    Io invece ne ho piene ne palle dei tanti che non possiedo i minimi strumentali inclusi quelli della propria lingua; dove l'hai mai visto che bugs si scrive con la s finale - in quale film?

    Comunque a parte gli scherzi e noto come termini stranieri (sigle incluse) debbano essere utilizzati in forma singolare, dove hai visto equiparare i bug?

    > 1. Almeno il 70% dei bugs trovati nei progs
    > che girano su linux, non sono sfruttabili
    > dal primo script kiddie che sbatte in un
    > server vulnerabile ( non si può dire
    > lo stesso per la controparte di Redmond,
    > dato che è pieno in giro di wizard
    > per fare virus, ad esempio...).E non sono i
    > virus che giravano anni fa, questi prendono
    > di mira e sfruttano quasi esclusivamente
    > bachi di outlook, oppure qualche bel
    > servizio "esotico"...

    Io non dubito che nel merito tu abbia ragione almeno da un punto di vista pratico, si tratta di problemi noti e ricorrenti, ma a livello teorico, chi ha scritto il precedente messaggio non sbaglia.

    > 2. Nel mondo open source ( non sto parlando
    > solo di linux...) il bug viene scoperto,
    > reso pubblico e corretto nel giro di pochi
    > giorni o settimane.Alla Microsoft se ne
    > escono fuori solo quando la patch è
    > pronta, e visto che le release di Windows
    > sono ferme da anni, questo ci fa capire da
    > quanto tempo quei bugs appestano l' O.S.

    Magari viene risolto in breve tempo, sulla scoperta sei in errore.

    > Per il resto si può disquisire se sia
    > migliore un O.S. free ed opensource od uno a
    > pagamento e closed, ognuno ha i suoi punti
    > di vista, ma per quanto riguarda la
    > questione dei bugs non transigo...
    >Occhiolino

    Siamo l'unico paese del mondo dove ancora si pensa che la qualità dipenda dal metodo open o closed o dalla licenza; dipende dalle capacità di chi ci mette mano.

    Un software ben realizzato è anche quello che richiede il miniro numero di modifiche a posteriori.
    non+autenticato

  • - Scritto da: Anonimo
    > Puo' capitare a microsoft come puo' capitare
    > a linux. La piantino certi invasati linuxari
    > combattenti. Ne ho piene le scatole dei loro
    > estremismi da guerra ideologica.

    e' profondamente diverso il contesto: un bug di windows o di software closed sono in balia del produttore, qualche tempo fa un sp di NT aveva completamente reso inutilizzabile del sw che noi producevamo, per fortuna questo bloccava anche il funzionamento di stampanti di marca ed è uscito (3-4 mesi dopo ) un patch, se fosse stato solo per noi non credo che microsoft avrebbe mosso un dito
    tempo dopo utilizzando gcc per compilare dei prodotti embedded ho avuto bisogno di una piccola modifica al linker: ho preso il codice e l'ho modificato
    non è da tutti mettere le mani al kernel per togliere un buffer overflow, ma SI PUO` fare, questo è il punto
    non+autenticato
  • > se fosse stato solo per noi non credo che
    > microsoft avrebbe mosso un dito

    Dipende.
    Nel caso la tua azienda abbia un contratto con il PSS (il servizio supporto di Microsoft) puo' essere rilasciata una patch personalizzata per la tua situazione.
    A me è successo.

    michele.
    non+autenticato

  • - Scritto da: Anonimo
    > > se fosse stato solo per noi non credo
    > che
    > > microsoft avrebbe mosso un dito
    >
    > Dipende.
    > Nel caso la tua azienda abbia un contratto
    > con il PSS (il servizio supporto di
    > Microsoft) puo' essere rilasciata una patch
    > personalizzata per la tua situazione.
    > A me è successo.

    e quanto costa?
  • GNENTE
    se hai il contratto PSS (premier support service), che invece costa un bel po di grana
    non+autenticato

  • - Scritto da: Anonimo
    > GNENTE


    Ah....

    E invece quanto costa una patch al dizionario ?
    non+autenticato

  • - Scritto da: Anonimo
    >che invece costa un bel po di
    > grana

    ecco, come immaginavo, prima ti puppano i soldi per acquistare le licenze, poi ti puppano anche i soldi per contratti di assistenza attraverso i quali paghi le risoluzioni (patch) dei LORO errori/bug....

    differenza non di poco conto tra open e closed, tra modello a cattedrale e modello a bazaar.......
  • Anche Microsoft si avvale di Kerberos per il servizio di autenticazione di Active Directory, tuttavia utilizza una propria implementazione che, stando a quanto comunicato dalla società, non è afflitta da questi problemi.
    non+autenticato

  • - Scritto da: Anonimo
    > Anche Microsoft si avvale di Kerberos per il
    > servizio di autenticazione di Active
    > Directory, tuttavia utilizza una propria
    > implementazione che, stando a quanto
    > comunicato dalla società, non
    > è afflitta da questi problemi.

    E' da 5 minuti che sto dandomi pizzicotti per capire se son sveglio o sto ancora sognando.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Anche Microsoft si avvale di Kerberos
    > per il
    > > servizio di autenticazione di Active
    > > Directory, tuttavia utilizza una propria
    > > implementazione che, stando a quanto
    > > comunicato dalla società, non
    > > è afflitta da questi problemi.
    >
    > E' da 5 minuti che sto dandomi pizzicotti
    > per capire se son sveglio o sto ancora
    > sognando.
    Pur di far sembrare il lo OS il migliore alla M$ arrivana anche a mentire.... nel prox service pack lo correggerrano in silenzio.
    Il bello del mondo closed source......
    non+autenticato

  • > Pur di far sembrare il lo OS il migliore
    > alla M$ arrivana anche a mentire.... nel
    > prox service pack lo correggerrano in
    > silenzio.
    > Il bello del mondo closed source......

    Sempre a pensar male....

    Ha fatto tante di quelle figure di m£5&a tra virus worm blaster ecc... sai che sarebbe ammettere questa.
    Tra l'altro ha già corretto una vulnerabilità all' ASN qualche mese fa.
    non+autenticato

  • - Scritto da: Anonimo
    [cut]
    > Sempre a pensar male....
    >
    > Ha fatto tante di quelle figure di m£5&a tra
    > virus worm blaster ecc... sai che sarebbe
    > ammettere questa.
    > Tra l'altro ha già corretto una
    > vulnerabilità all' ASN qualche mese
    > fa.

    Beh, il ''bello'' del mondo closed e' proprio questo:
    entrambe *potreste* aver ragione ma nessuno dei due ne ha la certezza.

    Cosa che non accade nel mondo open.

    8)
    non+autenticato
  • Active Directory resta una delle migliori tecnologie sviluppate da MS.
    non+autenticato
  • Amen.
    Chissà le altre ....
    non+autenticato

  • - Scritto da: Anonimo
    > Amen.
    > Chissà le altre ....

    Quoto e condivido.

    Active Directory fa veramente schifo, win2003 sever ha prestazioni a dir poco penose e ci ritroviamo sempre a perdere tempo per lo solite cretinate.

    Ricordo una pubblicità Microsoft dove c'era un responsabile CED che, tutto triste per non aver niente da fare, incrociava un impiegato che non se lo filava più: tutto funzionava troppo bene!!!

    Beh, qui da noi gli impiegati ci filano eccome!!! E quando gli incrociamo nei corridoi è meglio filarsela, altrimenti sono legnate: tutto funziona da schifo!!!

    E questo grazie ad un paio di pagliacci che sventolano il loro bel certificato di eccellenza microzozz....mi piacerebbe sapere come vengono rilasciati!!! Dalla qualità del loro lavoro direi che hanno ottenuto il punteggio più alto nell'esame di spazzolamento anale mediante uso della lingua......:@
    non+autenticato

  • > Active Directory fa veramente schifo,
    > win2003 sever ha prestazioni a dir poco
    > penose e ci ritroviamo sempre a perdere
    > tempo per lo solite cretinate.

    bha forse non sapete gestirlo /installarlo?
    nel dubbio spariamo un po di merda tanto non fa mai male....
    non+autenticato
  • In effetti io non so farlo ma da noi l'ha installato Microsoft Italia ...
    Cmq rispetto a NDS mi sembra ancora molto indietro
    non+autenticato

  • - Scritto da: Anonimo
    > In effetti io non so farlo ma da noi l'ha
    > installato Microsoft Italia ...
    > Cmq rispetto a NDS mi sembra ancora molto
    > indietro

    allora sen non sai installarlo dubito che tu ne sappia qualcosa quindi evita discorsi di cose che non sai, e dubito anche che sia venuta ad installarlo microsoft italia,
    in azienda l'ho installato io e funziona benissimo mai avuto problemi, prima con altri soft si che era un casino
    non+autenticato