Kerberosにバッファオーバーフローや任意のコードを実行される脆弱性

荒浪一城 2007年09月07日 14時47分

  • このエントリーをはてなブックマークに追加

 9月5日(デンマーク時間)、Secuniaは「Kerberos」に、DoSとシステムアクセスの脆弱性が発見されたと公表した。Kerberos(ケルベロス)は、暗号による認証方式のひとつで、マサチューセッツ工科大学 (MIT)の「Athena」プロジェクトの成果物。

 脆弱性は、それぞれ以下のとおり。

  1. src/lib/rpc/svc_auth_gss.c の "svcauth_gss_validate()"関数でバッファオーバーフローが発生する
  2. src/lib/kadm5/srv/svr_policy.c の "kadm5_modify_policy_internal()"関数が、"krb5_db_get_policy()"の戻り値を正しくチェックしていないことにより、任意のコードが実行可能なこと

 影響を受けるバージョンは、それぞれ以下のとおり。

  1. krb5-1.4 から krb5-1.6.2
  2. krb5-1.5 から krb5-1.6.2

 影響度は、5段階中2番目に高い「Highly critical」に位置づけられている。解決策は、Kerberos 1.5.5 または 1.6.3にアップデートすること。または、MITから提供されるパッチを適用すること。

 詳細は、下記のセキュリティーアドバイザリーを参照されたい。

  • http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2007-006.txt
  • このエントリーをはてなブックマークに追加
関連キーワード
クラウド基盤

関連ホワイトペーパー

SpecialPR

  • 「奉行シリーズ」の電話サポート革命!活用事例をご紹介

    「ナビダイヤル」の「トラフィックレポート」を利用したことで着信前のコール数や
    離脱数など、コールセンターのパフォーマンスをリアルタイムに把握するに成功。詳細はこちらから

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!