首页 -> 安全研究

安全研究

绿盟月刊
绿盟安全月刊->第42期->最新漏洞
期刊号: 类型: 关键词:
Kerberos 4协议中多个设计和实现漏洞

日期:2003-07-02

发布日期:2003-03-17
更新日期:2003-03-24

受影响系统:
MIT Kerberos 4 Protocol
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 7113

Kerberos是一种使用广泛的采用强壮的加密来验证客户端和服务器端的网络协议。

Kerberos 4协议加密存在多个设计错误,远程攻击者利用这些漏洞可导致控制整个Kereros验证结构系统。

在Kerberos 4协议实现中存在多个加密漏洞,允许攻击者在Kerberos域中扮演任何用户和通过Kerberos域获得任何权限。另外,Krb4实现存在另外一个漏洞,如果三重-DES密钥用于krb4服务,允许使用拷贝和粘贴攻击来伪造krb4 tickets,搅乱整个Kerberos验证结构。

Kerberos 4 tickets实现既不包括加密数据密码HASH,随机填补,也没有随机初始矢量,因此如果攻击者可以让适当的原文用于Kerberos服务密钥上,就可以使攻击者伪造Ticket。一般攻击者不能控制Ticket中的原文,因此这个加密漏洞较难利用。

<*来源:Tom Yu (tlyu@mit.edu)
  
  链接:http://web.mit.edu/kerberos/www/advisories/index.html
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* krb5-1.2.6及之后的版本可以在所有交叉域中设置DISALLOW_ALL_TIX或DISALLOW_SVR属性。这会导致交叉域验证功能。

* 关闭在Kerberos 4服务器上使用三重DES密钥。

厂商补丁:

MIT
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://web.mit.edu/kerberos/www/advisories/2003-004-krb4_patchkit.tar.gz
版权所有,未经许可,不得转载