速報
» 2005年07月13日 20時41分 公開

7月12日はパッチの日? MIT Kerberosにも3種類の脆弱性

幅広いソフトウェアやネットワーク機器で採用されているユーザー認証システム「MIT Kerberos」のバージョン1.4.1以前に、3種類の脆弱性が存在する。

[高橋睦美,ITmedia]

 7月12日、幅広いソフトウェアやネットワーク機器で採用されているユーザー認証システム「MIT Kerberos」のバージョン1.4.1以前に、3種類の脆弱性が存在することが明らかになった。

 このうち2つは、Kerberos認証の中核である「Key Distribution Center(KDC)」の実装に関するものだ。TCP/UDPコネクション経由で細工を施されたリクエストを受け付けると、メモリのヒープ領域が破壊されてDoS状態に陥ったり、バッファオーバーフローが発生して任意のコードを実行される恐れがある。

 残る1つはkrb5_recvauth()ファンクションに存在するメモリの二重解放(ダブルフリー)の脆弱性だ。悪用されれば任意のコードを実行され、Kerberos Realmが危険にさらされる可能性がある。

 開発元であるMIT Kerberos Teamによると、今のところ、これら脆弱性を悪用する実証コードは登場していない。しかし、Secuniaでは5段階中4番目、FrSIRTでは4段階中最も高い「クリティカル」に脅威レベルを位置づけていることから、緊急性の高い問題といえる。

 同チームではバージョン1.4.1向けのパッチを公開済み。近日中に、問題を修正したバージョン1.4.2をリリースする予定だ。できる限り早期の適用が推奨される。

 なおこれに合わせてFedora Core、Red Hat、Gentooの各ディストリビューションも修正版をリリースしている。またJVNでは、この脆弱性に関する情報の収集、公開を行っている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -