MIT Kerberosに3件の脆弱性、各社がアップデートリリース

MIT Kerberos 5に深刻な脆弱性が見つかった。コンセプト実証コードも存在する。

» 2007年06月28日 08時48分 公開
[ITmedia]

 幅広いソフトウェアやネットワーク機器で採用されているユーザー認証システムのMIT Kerberos 5に6月26日、3件の脆弱性が見つかった。

 US-CERTや開発元のMIT Kerberosチームのアドバイザリーによると、脆弱性3件のうち2件はKerberosのRPCライブラリに関するもの。初期化されていないポインタを解放してしまう問題と、整数変換エラー問題が存在する。

 残る1件はKerberosの管理デーモンkadmindのスタックバッファオーバーフローに起因する。

 脆弱性はMIT Kerberos5-1.6.1に存在し、悪用されるとリモートの認証を受けない攻撃者が任意のコードを実行したり、DoS状態に陥れることが可能になる。MIT Kerberosチームによると、この問題ではコンセプト実証コードが存在するが、公には出回っていないようだという。

 深刻度はSecuniaが5段階中4番目の「Highly critical」、仏FrSIRTは4段階中最も高い「Critical」にランクしている。

 MIT Kerberosは主要ベンダー多数の製品に利用されているが、今のところRed Hat、Sun Microsystems、Ubuntuの製品で脆弱性が確認され、それぞれ問題を修正したアップデートをリリースした。また、MIT Kerberosチームもソースコードパッチを公開している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ