L’implementazione del famoso protocollo di autenticazione Kerberos 5 del MIT, utilizzato in numerosi prodotti per la sicurezza e in diversi sistemi operativi, soffre di tre vulnerabilità che potrebbero essere sfruttate per compromettere la sicurezza di un sistema remoto.
Tutte e tre le falle, descritte nel dettaglio in questo advisory di FrSIRT, possono essere utilizzate da remoto per mandare in crash l’applicazione o eseguire del codice dannoso. US-CERT afferma che il problema potrebbe interessare tutti i prodotti che contengono la libreria RPC di MIT Kerberos o altre librerie RPC derivate da SunRPC.
Il progetto MIT Kerberos ha già rilasciato due patch il cui codice è stato pubblicato all’interno degli advisory 2007-004 e 2007-005 . Presto le patch verranno incluse nelle versioni 1.6.2 e 1.5.4 di Kerberos 5.
Ti potrebbe interessare
28 giu 2007