Boletines de Vulnerabilidades |
Debilidades en la versión 4 del protocolo Kerberos |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Compromiso Root |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Kerberos v4 |
Descripción |
|
Kerberos es un protocolo de autenticación en red para aplicaciones cliente/servidor basado en criptografía asimétrica o de clave pública. Se ha informado de diversas debilidades criptográficas en la versión 4 de este protocolo (consistentes en fallos de diseño) que podrían permitir a un atacante comprometer a nivel de root el Controlador de Dominios de Kerberos (KDC) y cualquier host que confíe en él para la autenticación. Estos ataques pueden llegar a destruir una infraestructura entera de autenticación Kerberos. |
|
Solución |
|
Actualización de software KTH Kerberos Actualizar a la versión 1.2.2 ftp://ftp.pdc.kth.se/pub/krb/src/krb4-1.2.2.tar.gz MIT Kerberos Parche para la implementación de krb4 contenida en MIT krb5 http://web.mit.edu/kerberos/www/advisories/2003-004-krb4_patchkit.tar.gz |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CAN-2003-0138 CAN-2003-0139 |
BID | |
Recursos adicionales |
|
MITKRB5-SA-2003-004: "Cryptographic weaknesses in Kerberos v4 protocol": http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-004-krb4.txt KTH Kerberos: 2003-03-17 Security advisory regarding v4 cross-realm http://www.pdc.kth.se/kth-krb |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-03-21 |