MIT Kerberosに2件の脆弱性、Linux各社もアップデート公開

MIT Kerberos 5に新たな脆弱性が2件見つかった。

» 2007年09月06日 08時32分 公開
[ITmedia]

 多数のネットワークアプリケーションやUNIX、Linuxディストリビューションに採用されているユーザー認証システムのMIT Kerberos 5に、新たな脆弱性が見つかった。

 KerberosチームやUS-CERTなどが9月5日に公開したアドバイザリーによると、脆弱性は2件あり、いずれも悪用されると任意のコードを実行される恐れがある。

 MIT Kerberos 5のRPCライブラリにおける管理デーモン(kadmind)のスタックバッファオーバーフローの脆弱性は、MIT Kerberos5-1.4から1.6.2に存在する。なお、1.4よりも前のリリースには問題のコードは含まれていない。

 この問題を突いたコンセプト実証コードも存在するが、悪質コードを実行する機能はなく、エクスプロイトが出回っているわけではないという。

 もう1件の問題では、kadmindが初期化されないポインタ経由でデータを書き込むことが可能になる。影響を受けるのはMIT Kerberos5-1.5から1.6.2で、1.5よりも前のリリースには問題のコードは含まれていない。

 MIT Kerberosチームは、MIT Kerberos5-1.6.3とメンテナンスリリースのkrb5-1.5.5でこれら脆弱性を修正。DebianやRed HatなどのLinux各社も問題に対処したアップデートをリリースしている。

関連キーワード

脆弱性 | Linux | Red Hat | Debian | UNIX


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ