Roma – Kerberos, la nota e diffusissima tecnologia di autenticazione adottata da numerosi sistemi operativi e prodotti per la sicurezza, contiene una grave vulnerabilità che potrebbe consentire ad un aggressore di guadagnare i privilegi di amministratore su di un sistema remoto.
Il centro governativo americano CERT ha pubblicato un avviso di sicurezza in cui si spiega che la falla consiste in un buffer overflow nel demone di amministrazione delle versioni 4 e 5 di Kerberos, inclusa la distribuzione krb5-1.2.6.
Il CERT sostiene che è già stato trovato un modo per sfruttare la vulnerabilità e lo stesso Massachusetts Institute of Technology (MIT), l’università che ha creato questo standard di sicurezza, ha avvertito che un exploit sta già circolando per la Rete. Il CERT avverte pertanto tutti coloro che utilizzano prodotti basati su Kerberos di verificare immediatamente la loro eventuale vulnerabilità: al momento pare che l’implementazione di Microsoft dello standard Kerberos sia immune al problema.
In questo bollettino il MIT fornisce alcuni suggerimenti su come correggere la falla.
Il team Computer Incident Advisory Capability (CIAC) del Dipartimento per l’Energia ha sottolineato la gravità del problema spiegando come un potenziale aggressore non abbia bisogno di identificarsi su di un server per l’autenticazione per portare l’attacco: in seguito alla natura della vulnerabilità, un cracker potrebbe infatti eseguire del codice a sua scelta su di un key distribution center (KDC) ed in seguito compromettere un database Kerberos.
Kerberos fu sviluppato nella metà degli anni ’80 come parte del progetto Athena del MIT sotto la guida di Steve Miller e Clifford Neuman. Attualmente è arrivato alla versione 5 e rimane un punto fermo nel settore.
Ti potrebbe interessare
28 ott 2002