MIT Kerberos 5に深刻な脆弱性が見つかった。コンセプト実証コードも存在する。
幅広いソフトウェアやネットワーク機器で採用されているユーザー認証システムのMIT Kerberos 5に6月26日、3件の脆弱性が見つかった。
US-CERTや開発元のMIT Kerberosチームのアドバイザリーによると、脆弱性3件のうち2件はKerberosのRPCライブラリに関するもの。初期化されていないポインタを解放してしまう問題と、整数変換エラー問題が存在する。
残る1件はKerberosの管理デーモンkadmindのスタックバッファオーバーフローに起因する。
脆弱性はMIT Kerberos5-1.6.1に存在し、悪用されるとリモートの認証を受けない攻撃者が任意のコードを実行したり、DoS状態に陥れることが可能になる。MIT Kerberosチームによると、この問題ではコンセプト実証コードが存在するが、公には出回っていないようだという。
深刻度はSecuniaが5段階中4番目の「Highly critical」、仏FrSIRTは4段階中最も高い「Critical」にランクしている。
MIT Kerberosは主要ベンダー多数の製品に利用されているが、今のところRed Hat、Sun Microsystems、Ubuntuの製品で脆弱性が確認され、それぞれ問題を修正したアップデートをリリースした。また、MIT Kerberosチームもソースコードパッチを公開している。
Copyright © ITmedia, Inc. All Rights Reserved.