ユーザー認証のMIT Kerberos 5に脆弱性

幅広いソフトやネットワーク機器のユーザー認証システムに採用されているMIT Kerberosに脆弱性が見つかった。

[ITmedia]

　米マサチューセッツ工科大学（MIT）は、Kerberos 5の脆弱性に関する2件のセキュリティアドバイザリーを公開し、深刻な脆弱性に対処した。

　脆弱性はkadmindに使われているRPCライブラリと、krb4対応のKDCサーバに存在する。

　このうちRPCライブラリのアレイオーバーラン問題では、攻撃者がメモリ破損を引き起こしてkadmindをクラッシュさせ、DoS（サービス妨害）状態に陥れることが可能になる。この結果、データベースが破壊されたり任意のコードを実行される恐れもある。危険度は最も高いもので、共通指標CVSSの最高値である10となっている。

　KDCの脆弱性は、MIT Kerberos 5 KDCでKerberos 4のサポートが有効になっている場合に影響を受け、情報流出や任意のコード実行につながる恐れがある。最も危険な脆弱性はCVSSのスコアでレベル9.3となっている。

　MIT Kerberosは幅広いソフトウェアやネットワーク機器のユーザー認証システムに採用されており、US-CERTはベンダー各社からパッチやアップデートを入手するよう呼びかけている。