CERT-FI haavoittuvuustiedote 176/2007

Haavoittuvuuksia MIT Kerberos 5 -ohjelmistossa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Kerberos on laajasti asiakkaan ja palvelimen välisessä todentamisessa käytetty protokolla. MIT Kerberos 5 on suosittu Kerberos 5 -protokollan toteutus. MIT Kerberos 5 -kirjastoista on löytynyt viisi uutta haavoittuvuutta.

Haavoittuvuuksista on julkistettu vain vähän yksityiskohtaisia tietoja. Tämän hetken tietojen mukaan hyökkääjän on haavoittuvuutta hyväksikäyttämällä mahdollista kohdistaa palveluestohyökkäys Kerberosta käyttävään järjestelmään.

HAAVOITTUVAT OHJELMISTOT:

• MIT Kerberos 5 1.6.3 ja sitä aiemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Kaikki viisi haavoittuvuutta korjataan päivityksessä versioon 1.6.4 tai uudempaan.

LISÄTIETOA:

• http://bugs.gentoo.org/show_bug.cgi?id=199205
• CVE-2007-5894
• CVE-2007-5901
• CVE-2007-5902
• CVE-2007-5971
• CVE-2007-5972
• http://web.mit.edu/Kerberos/krb5-1.6/krb5-1.6.4.html

PÄIVITYSHISTORIA:

7.12.2007, kello 17.06: Julkaistu

Sivua päivitetty 05.08.2008

Tulostusversio