Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Kerberos 5

Múltiples vulnerabilidades en Kerberos 5

Fecha de publicación: 
04/02/2015
Importancia: 
4 - Alta
Recursos afectados: 
  • kadmind en todas las versiones de krb5.
  • Software servidor (inluyendo terceros) que utilice libgssrpc desde krb5-1.11.
  • Aplicaciones servidor o cliente de terceros que hagan uso directo de la función gss_process_context_token().
  • Software servidor de terceros que hagan uso de la libreria libgssrpc e implementen autenticación AUTH_GSSAPI.
Descripción: 

El equipo desarrollador del MIT ha descubierto varias vulnerabilidades en componentes de Kerberos krb5.

Solución: 

Existen parches liberados por el MIT para las series krb5-1.11, krb5-1.12 y krb5-1.13 cuya descarga puede obtenerse consultando el siguiente enlace:

http://web.mit.edu/Kerberos/advisories/MITKRB5-SA-2015-001.txt

El equipo de seguridad de Debian ha publicado un parche para su implementación:

https://www.debian.org/security/2015/dsa-3153

Del mismo nodo, Red Hat ha dispuesto el parche correspondiente:

https://bugzilla.redhat.com/show_bug.cgi?id=1179856
Detalle: 

Las vulnerabilidades afectan a los componentes kadmind gss_process_context_token() y libgssrpc. Estas vulnerabilidades tienen distintas consecuencias, entre ellas: denegación de servicio por caída de procesos, ejecución de código, suplantación de usuarios y obtención de información sensible de la memoria.