Doppia falla critica in Kerberos

Scoperte due serie vulnerabilità nel celebre protocollo di autenticazione Kerberos che potrebbero mettere a rischio i sistemi di sicurezza di molte aziende. Corsa alla patch


Roma – Kerberos , la nota e diffusissima tecnologia di autenticazione adottata da numerosi sistemi operativi e prodotti per la sicurezza, contiene due gravi vulnerabilità che potrebbero consentire ad un aggressore di lanciare attacchi di tipo denial of service o, peggio, guadagnare l’accesso ad un sistema remoto.

La prima falla , del tipo cosiddetto “double-free”, potrebbe essere utilizzata da un abile cracker per compromettere l’intera infrastruttura di autenticazione di una rete. Kerberos, infatti, si preoccupa di identificare ogni singolo utente e stabilire, fra le altre cose, chi ha le credenziali necessarie per accedere ad un sistema, area o servizio della rete.

Le vulnerabilità di tipo double-free vengono generate quando un programma tenta di liberare una zona di memoria che era già stata liberata: questo bug, seppure meno grave del classico buffer overrun, può essere sfruttato per eseguire codici malevoli e prendere il controllo del sistema.

La seconda falla , di tipo buffer overflow, può essere utilizzata da un aggressore remoto sia per mandare in crash un server per la distribuzione delle chiavi Kerberos sia per eseguire del codice: il team di sviluppo del protocollo ritiene però quest’ultima eventualità assai meno probabile.

Il Massachusetts Institute of Technology (MIT), che sviluppa il protocollo Kerberos, ha classificato entrambi i bug con un grado di rischio “critical”: una valutazione che trova d’accordo sia Secunia che il FrSIRT . Il MIT ha già rilasciato una patch che integrerà nella prossima e imminente versione di Kerberos 5, la 1.4.2: un fix è stato nelle scorse ore distribuito anche da numerosi produttori di apparati di rete e di software.

Kerberos fu sviluppato nella metà degli anni ’80 come parte del progetto Athena del MIT sotto la guida di Steve Miller e Clifford Neuman. Attualmente è arrivato alla Release 5 e rimane un punto fermo nel settore. Kerberos viene utilizzato da un gran numero di software e di sistemi operativi, tra cui buona parte delle distribuzioni di Linux, vari Unix commerciali e Mac OS X. Anche Microsoft si avvale di una propria implementazione di Kerberos per il servizio di autenticazione di Active Directory.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • aistu scrive:
    Meglio piu piccolo o piu capiente?
    Penso che piuttosto che gareggiare a "chi c'e' l'ha piu' piccolo" (il supporto dati ;) ) potrebbero investire sul "chi c'e' l'ha piu' capiente"... (si parla sempre del supporto dati :$ ) o no?!
    • Anonimo scrive:
      Re: Meglio piu piccolo o piu capiente?
      - Scritto da: aistu
      Penso che piuttosto che gareggiare a "chi c'e'
      l'ha piu' piccolo" (il supporto dati ;) )
      potrebbero investire sul "chi c'e' l'ha piu'
      capiente"... (si parla sempre del supporto dati
      :$ ) o no?!Dipende anche dagli ambiti di applicazione, mapossibilmente sarebbe meglio avere entrambe le cose, o no?
    • Anonimo scrive:
      Re: Meglio piu piccolo o piu capiente?
      - Scritto da: aistu
      Penso che piuttosto che gareggiare a "chi c'e'
      l'ha piu' piccolo" (il supporto dati ;) )
      potrebbero investire sul "chi c'e' l'ha piu'
      capiente"... (si parla sempre del supporto dati
      :$ ) o no?!Perchè non al chi ce l'ha più economico?Mi dispiace tanto che non abbia avuto segguito lo standard SmartMedia.Doveva essere il sostituto del floppy disk e si sono visti i primi tagli da 2MB e poi anche 8 e 16M a prezzi molto bassi.La memoria è più larga delle altre ma è sottilissima e quasi flessibile.La caratteristica principale era il costo contenuto grazie ad un'architettura controller-less.Sarebbe stato bello vedere minidrive per queste memorie in grado di fare anche il boot, su qualsiasi computer.Ed invece il mercato è diventato un caos incredibile ognuno con le sue schede più o meno veloci e/o compatte.Io prendo come standard di riferimento il Compact Flash, che benchè sia il meno compatto, è sicuramente il più versatile sia perchè lo leggi su qualsiasi portatile con una dattatorino PC-Card-
      CF, sia perchè esistono anche i microdrive che tra qualche tempo arriveranno anche a 10GB.
  • Anonimo scrive:
    Personalmente ritengo che apparecchiature del genere non servano assolutamente a nulla...
    come da oggetto
    • Anonimo scrive:
      Re: Personalmente ritengo che apparecchiature del genere non servano assolutamente a nulla...
      - Scritto da: Anonimo
      come da oggettobravo, ahi detto la (inutile) tua...
    • Anonimo scrive:
      Re: Personalmente ritengo che apparecchi
      Il fatto che tu non sappia che fartene non significa che gli altri versino tutti nel tuo stesso stato di mancanza di fantasia.
      • Anonimo scrive:
        Re: Personalmente ritengo che apparecchi
        - Scritto da: Anonimo
        Il fatto che tu non sappia che fartene non
        significa che gli altri versino tutti nel tuo
        stesso stato di mancanza di fantasia.io un'idea ce l'avrei... :p ;)
  • salvio scrive:
    Un volume di circa 165 mm quadrati???
    ahaha... :| ma che scrivete??? :'(
    • Anonimo scrive:
      Re: Un volume di circa 165 mm quadrati???
      - Scritto da: salvio
      ahaha... :| ma che scrivete??? :'(Guarda che non c'è bisogno di infierire su sti poracci. :D
    • la redazione scrive:
      Re: Un volume di circa 165 mm quadrati??
      Sfuggito ;)Corretto, grazie- Scritto da: salvio
      ahaha... :| ma che scrivete??? :'(
  • carobeppe scrive:
    ... ma a che servono?
    Ma si, miniaturizziamole ancora un po'... già le perdo a cose normali le SD, figurati se le fanno ancora più piccole... e poi io con le dita grosse le maneggio male.
    • Anonimo scrive:
      Re: ... ma a che servono?
      - Scritto da: carobeppe
      Ma si, miniaturizziamole ancora un po'... già le
      perdo a cose normali le SD, figurati se le fanno
      ancora più piccole... e poi io con le dita grosse
      le maneggio male.Nascono più specificatamente per i cellulari.Ne monti una e la lasci lì ( tipo 512/1 Gb ), non specificatamente come unità di memoria da usarsi tipo floppone.....
      • pikappa scrive:
        Re: ... ma a che servono?
        - Scritto da: Anonimo

        - Scritto da: carobeppe

        Ma si, miniaturizziamole ancora un po'... già le

        perdo a cose normali le SD, figurati se le fanno

        ancora più piccole... e poi io con le dita
        grosse

        le maneggio male.

        Nascono più specificatamente per i cellulari.
        Ne monti una e la lasci lì ( tipo 512/1 Gb ), non
        specificatamente come unità di memoria da usarsi
        tipo floppone.....basterebbe poco per rendere il cellulare utilizzabile come memoria portatile, ci monti una t-flash dentro, cavetto usb e vai, usare il cellulare come memoria portatile...
        • Anonimo scrive:
          Re: ... ma a che servono?
          - Scritto da: pikappa
          basterebbe poco per rendere il cellulare
          utilizzabile come memoria portatile, ci monti una
          t-flash dentro, cavetto usb e vai, usare il
          cellulare come memoria portatile...Però devi portarti dietro anche il suo cavo (sempre fuori standard) per attaccarlo al PC di turno. Oppure trasferire col bluetooth...Ma così quante funzioni gli vogliamo far fare a questi odiati cellulari?Ma soprattutto, tra film, mp3, fotografie, mass storage, videogame e cazzate varie, quando avrò un incidente e mi servirà chiamare il 118, sarà rimasta batteria sufficiente a poter concludere la telefonata descrivendo dove mi trovo per farmi venire a prendere e salvarmi la vita?
          • Anonimo scrive:
            Re: ... ma a che servono?
            - Scritto da: Anonimo
            la telefonata descrivendo dove mi trovo per farmi
            venire a prendere e salvarmi la vita?Il telefono deve fare il telefono stop!Almeno per me. Quindi se lo vuoi colorato, leggerissimo, piccolissimo ecc. Ma che sia solo ed esclusivamente un telefono.Il mio è uno splendido Panasonia A102, minuscolo così non lo scordo in giro, lo metto in qualsiasi tasca, non mi da fastidio non devo girare con marsupi, borselli e custodie da cintura.Ha il display monocromatico che consuma meno batteria.Non fa nulla a parte il telefono GSM tri-band e gli SMS. Non c'è manco il wap.E la batteria dura molto a lungo.
Chiudi i commenti