9月5日(デンマーク時間)、Secuniaは「Kerberos」に、DoSとシステムアクセスの脆弱性が発見されたと公表した。Kerberos(ケルベロス)は、暗号による認証方式のひとつで、マサチューセッツ工科大学 (MIT)の「Athena」プロジェクトの成果物。
脆弱性は、それぞれ以下のとおり。
- src/lib/rpc/svc_auth_gss.c の "svcauth_gss_validate()"関数でバッファオーバーフローが発生する
- src/lib/kadm5/srv/svr_policy.c の "kadm5_modify_policy_internal()"関数が、"krb5_db_get_policy()"の戻り値を正しくチェックしていないことにより、任意のコードが実行可能なこと
影響を受けるバージョンは、それぞれ以下のとおり。
- krb5-1.4 から krb5-1.6.2
- krb5-1.5 から krb5-1.6.2
影響度は、5段階中2番目に高い「Highly critical」に位置づけられている。解決策は、Kerberos 1.5.5 または 1.6.3にアップデートすること。または、MITから提供されるパッチを適用すること。
詳細は、下記のセキュリティーアドバイザリーを参照されたい。
- http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2007-006.txt