Dziurawy protokół Kerberos V5

Opracowany przez Massachusetts Institute of Technology protokół Kerberos V5, zapewniający możliwość wzajemnego uwierzytelniania pomiędzy klientem a serwerem, okazał się dziurawy. Jak doniosła firma Secunia, niebezpieczne luki w szeroko wykorzystywanym protokole bezpieczeństwa, niosą ze sobą zagrożenie przejęcia przez hakerów kontroli nad serwerami autentykacyjnymi.

Problem dotyczy wszystkich wersji protokołu Kerberos 5 do krb5-1.3.4 włącznie i specjaliści zalecają aktualizację Kerberosa do wersji 1.3.5. Niestety na razie nowa wersja oprogramowania nie jest dostępna. Błędy występują w implementacji programu i bibliotek Centrum Dystrybucji Klucza i są związane z mechanizmem uwalniania pamięci systemu. Dodatkowo jeszcze jedna luka występuje także w dekoderze ASN.1. Nieszczelności Kerberosa mogą umożliwić hakerom przeprowadzenie ataku typu denial of service, bez konieczności uprzedniego logowania się do systemu.

Aktualnie inżynierowie MIT opublikowali łatę do wcześniejszych wersji protokołu Kerberos 5, która ma eliminować zagrożenie i pracują nad bezpieczną wersją protokołu.

Źródło informacji: The Register