Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Importantes vulnerabilidades en Kerberos 5 del MIT
 
VSantivirus No. 1522 Año 8, lunes 6 de setiembre de 2004

 Importantes vulnerabilidades en Kerberos 5 del MIT
http://www.vsantivirus.com/vul-kerberos5-060904.htm

Por Angela Ruiz
angela@videosoft.net.uy

Según informa el US-CERT (United States Computer Emergency Readiness Team), han sido detectadas graves vulnerabilidades en la implementación del extensamente utilizado protocolo de autenticación Kerberos 5 del MIT (Massachusetts Institute of Technology).

Las más severas de las mismas, podrían ser explotadas por piratas informáticos en forma remota, para ejecutar código arbitrario en un centro de distribución de claves (Key Distribution Center, KDC).

Kerberos es un protocolo de seguridad muy difundido en servidores y otros componentes de software distribuido. Utiliza un servidor de autenticación, para validar las contraseñas y los esquemas de cifrado. Su nombre proviene de la mitología griega, donde "Kerberos" era el perro de tres cabezas que custodiaba la entrada al submundo del infierno (Hades).

Son afectados las versiones de Kerberos 5 implementadas por el MIT anteriores a la krb5-1.3.5, y aquellas aplicaciones que las utilizan, o que contienen código derivado de esta implementación.

Casi todas las vulnerabilidades están relacionados con la liberación de memoria heap de forma insegura. El término "heap" indica una porción de memoria disponible para un programa, también llamada área de memoria dinámica.

Un intruso remoto no autenticado podría ejecutar código arbitrario en un servidor KDC, lo cual llegaría a comprometer todo un "realm" de Kerberos (un conjunto de recursos como páginas web por ejemplo, cubiertos con el mismo par usuario / contraseña).

Esto afecta a servidores de aplicaciones, aplicaciones que utilizan bibliotecas de Kerberos y clientes de Kerberos. También se podrían provocar ataques de denegación de servicio (DoS) en casi todos los productos involucrados.

Varios fabricantes son afectados por éstas vulnerabilidades, y las respectivas actualizaciones serán anunciadas por los mismos (más información en los siguientes enlaces).


Referencias:

Vulnerability Note VU#795632
http://www.kb.cert.org/vuls/id/795632

Vulnerability Note VU#866472
http://www.kb.cert.org/vuls/id/866472

Vulnerability Note VU#350792
http://www.kb.cert.org/vuls/id/350792

Vulnerability Note VU#550464
http://www.kb.cert.org/vuls/id/550464

MIT krb5 Security Advisory 2004-002
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2004-002-dblfree.txt

MIT krb5 Security Advisory 2004-003
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2004-003-asn1.txt

Kerberos: The Network Authentication Protocol
http://web.mit.edu/kerberos/www/


Fuente de la alerta:

Vulnerabilities in MIT Kerberos 5
Original release date: September 3, 2004
http://www.us-cert.gov/cas/techalerts/TA04-247A.html





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS