Doppia falla critica in Kerberos

Scoperte due serie vulnerabilità nel celebre protocollo di autenticazione Kerberos che potrebbero mettere a rischio i sistemi di sicurezza di molte aziende. Corsa alla patch
Scoperte due serie vulnerabilità nel celebre protocollo di autenticazione Kerberos che potrebbero mettere a rischio i sistemi di sicurezza di molte aziende. Corsa alla patch


Roma – Kerberos , la nota e diffusissima tecnologia di autenticazione adottata da numerosi sistemi operativi e prodotti per la sicurezza, contiene due gravi vulnerabilità che potrebbero consentire ad un aggressore di lanciare attacchi di tipo denial of service o, peggio, guadagnare l’accesso ad un sistema remoto.

La prima falla , del tipo cosiddetto “double-free”, potrebbe essere utilizzata da un abile cracker per compromettere l’intera infrastruttura di autenticazione di una rete. Kerberos, infatti, si preoccupa di identificare ogni singolo utente e stabilire, fra le altre cose, chi ha le credenziali necessarie per accedere ad un sistema, area o servizio della rete.

Le vulnerabilità di tipo double-free vengono generate quando un programma tenta di liberare una zona di memoria che era già stata liberata: questo bug, seppure meno grave del classico buffer overrun, può essere sfruttato per eseguire codici malevoli e prendere il controllo del sistema.

La seconda falla , di tipo buffer overflow, può essere utilizzata da un aggressore remoto sia per mandare in crash un server per la distribuzione delle chiavi Kerberos sia per eseguire del codice: il team di sviluppo del protocollo ritiene però quest’ultima eventualità assai meno probabile.

Il Massachusetts Institute of Technology (MIT), che sviluppa il protocollo Kerberos, ha classificato entrambi i bug con un grado di rischio “critical”: una valutazione che trova d’accordo sia Secunia che il FrSIRT . Il MIT ha già rilasciato una patch che integrerà nella prossima e imminente versione di Kerberos 5, la 1.4.2: un fix è stato nelle scorse ore distribuito anche da numerosi produttori di apparati di rete e di software.

Kerberos fu sviluppato nella metà degli anni ’80 come parte del progetto Athena del MIT sotto la guida di Steve Miller e Clifford Neuman. Attualmente è arrivato alla Release 5 e rimane un punto fermo nel settore. Kerberos viene utilizzato da un gran numero di software e di sistemi operativi, tra cui buona parte delle distribuzioni di Linux, vari Unix commerciali e Mac OS X. Anche Microsoft si avvale di una propria implementazione di Kerberos per il servizio di autenticazione di Active Directory.

Link copiato negli appunti

Ti potrebbe interessare

14 07 2005
Link copiato negli appunti