Opracowany przez Massachusetts Institute of Technology protokół Kerberos V5, zapewniający możliwość wzajemnego uwierzytelniania pomiędzy klientem a serwerem, okazał się dziurawy. Jak doniosła firma Secunia, niebezpieczne luki w szeroko wykorzystywanym protokole bezpieczeństwa, niosą ze sobą zagrożenie przejęcia przez hakerów kontroli nad serwerami autentykacyjnymi.
Problem dotyczy wszystkich wersji protokołu Kerberos 5 do krb5-1.3.4 włącznie i specjaliści zalecają aktualizację Kerberosa do wersji 1.3.5. Niestety na razie nowa wersja oprogramowania nie jest dostępna. Błędy występują w implementacji programu i bibliotek Centrum Dystrybucji Klucza i są związane z mechanizmem uwalniania pamięci systemu. Dodatkowo jeszcze jedna luka występuje także w dekoderze ASN.1. Nieszczelności Kerberosa mogą umożliwić hakerom przeprowadzenie ataku typu denial of service, bez konieczności uprzedniego logowania się do systemu.
Aktualnie inżynierowie MIT opublikowali łatę do wcześniejszych wersji protokołu Kerberos 5, która ma eliminować zagrożenie i pracują nad bezpieczną wersją protokołu.
Źródło informacji: The Register
Dziurawy protokół Kerberos V5
Zabezpieczenia |
Pt, 3 Wrze 2004 12:27:47 +0200 |
Autor:
Redakcja
| Czytań: 3018
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.