Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

MIT Kerberos sebezhetőségek

2009.04.08. 16:40 | buherator | Szólj hozzá!

Több súlyos hibát is felfedeztek a széleskörűen használt MIT-s Kerberos implementációban. A SPNEGO GSS-API-ban található egyik hiba érvénytelen memóriacímről történő olvasást, a másik pedig NULL pointer dereferenciát okoz, ezeket lépéseket összeomlással jutalmazza az SPNEGO GSS-API-t használó alkalmazás illetve maga a KDC. Az első esetben némi információszivárgásra is van esély, a másodikról pedig részletesebb elemzést találtok itt.

Egy további probléma az ASN.1 formátumúő üzenetek feldolgozásában szintén elsősorban karambolt, de elméletileg akár illetéktelen kódfuttatást is eredményezhet (bár ennek a kihasználhatósága az MIT-sek szerint igen alacsony). [Megjegyzés: véletlen netán a hasonlóság az itt leírt OpenSSL problémával?]

A sebezhetőségek az 1.5-ös verziótól vannak jelen, és a következő kiadásban javításra kerülnek, addig is elérhetők a megfelelő foltok a fenti linkeken.

Címkék: patch bug kerberos

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.