Hệ thống xác thực Kerberos bị hổng nghiêm trọng

Các nhà phát triển hệ thống xác thực Kerberos của MIT vừa công bố bản vá lỗi dành cho một số lỗ hổng bảo mật nghiêm trọng trong hệ thống này,
Nội dung trích xuất từ tài liệu:
Hệ thống xác thực Kerberos bị hổng nghiêm trọngHệ thống xác thực Kerberos bị hổng nghiêm trọngNguồn:quantrimang.comCác nhà phát triển hệ thống xác thực Kerberos của MIT vừa công bố bảnvá lỗi dành cho một số lỗ hổng bảo mật nghiêm trọng trong hệ thống này,từng cho phép kẻ tấn công từ xa có thể đánh cắp thông tin nhạy cảm,shutdown trái phép hệ thống, và thực thi mã độc hại. Trục trặc đầu tiên phát sinh đối với tính năng KDC (Kerberos Key Distribution Center), và liên quan tới cách thức KDC xử lý các truy vấn krb4 đến. Kẻ tấn công có thể khai thác điểm yếu này để phá vỡ hệ máy chủ KDC, thực thi mã độc và làm lộ bộ nhớ. Trục trặc thứ hai phát sinh trong cách thức KDC gửi phản hồi cho các truy vấn krb4. Sai sót này cóthể bị khai thác để làm lộ bộ nhớ stack nhạy cảm thông qua một truy vấn krb4được chế tạo đặc biệt.Các trường hợp khai thác thành công hai lỗ hổng trên đều đòi hỏi việc hỗ trợkrb4 phải được kích hoạt trong KDC. Phiên bản bản krb4 mới hơn đã vô hiệuhóa mặc định tính năng này. Theo MIT, hai lỗ hổng mới ảnh hưởng tới Kerberos5 phiên bản 1.6.3 và cũ hơn.Lỗ hổng thứ ba nằm trong cách thức thư viện Kerberos RPC xử lý việc mở phầnmô tả một file. Trong những tình huống nhất định, kẻ tấn công có thể gửi một sốlượng lớn các kết nối RPC tới máy tính khiến cho bộ nhớ bị treo, và sau đó thựcthi mã độc từ xa. Lỗ hổng này ảnh hưởng tới Kerberos 5 phiên bản từ 1.2.2 tới1.4, từ 1.4 tới 1.6.3.Hãng bảo mật Secunia cũng xếp các lỗ hổng trên ở mức cực kỳ nghiêm trọng,mức cảnh báo cao nhất.