ITmedia NEWS > セキュリティ >
ニュース
» 2007年04月04日 08時53分 公開

MIT Kerberosに深刻な脆弱性

ユーザー認証システムのMIT Kerberos 5に3種類の脆弱性が存在することが明らかになった。

[ITmedia]

 幅広いソフトウェアやネットワーク機器で採用されているユーザー認証システム「MIT Kerberos」に3種類の深刻な脆弱性が見つかり、US-CERTが4月3日、アラートを公開した。

 脆弱性は、MIT Kerberos 5の1.6とそれ以前のバージョンで、telnet daemonとadministration daemon、GSS-APIライブラリに存在する。

 このうちadministration daemonの「krb5_klog_syslog()」に関するスタックオーバーフローの脆弱性と、GSS-APIライブラリのダブルフリーの脆弱性は、細工を施したKerberosメッセージを送りつけることによって、リモートの認証を受けた攻撃者が任意のコードを実行することが可能になる。また、DoSを誘発される可能性もあり、いずれの場合もKDC(Key Distribution Center)とKerberosの全領域を制御されてしまう恐れがある。

 telnet daemonの脆弱性は、リモートの攻撃者が昇格された権限でログオンすることが可能になる。

 US-CERTのアラートでは、影響を受けるベンダーとしてRed Hatなどを挙げ、ベンダーに確認して脆弱性修正パッチやアップデートを入手するよう勧告している。

 また、MIT Kerberos開発チームもソースコードパッチを公開し、次期リリースのkrb5-1.6.1で脆弱性を修正する予定。

Copyright © ITmedia, Inc. All Rights Reserved.