編集部からのお知らせ
新着 記事まとめPDF「データセンター分散化」
記事まとめPDF「日本のスタートアップ」

Kerberosにバッファオーバーフローや任意のコードを実行される脆弱性

荒浪一城

2007-09-07 14:47

 9月5日(デンマーク時間)、Secuniaは「Kerberos」に、DoSとシステムアクセスの脆弱性が発見されたと公表した。Kerberos(ケルベロス)は、暗号による認証方式のひとつで、マサチューセッツ工科大学 (MIT)の「Athena」プロジェクトの成果物。

 脆弱性は、それぞれ以下のとおり。

  1. src/lib/rpc/svc_auth_gss.c の "svcauth_gss_validate()"関数でバッファオーバーフローが発生する
  2. src/lib/kadm5/srv/svr_policy.c の "kadm5_modify_policy_internal()"関数が、"krb5_db_get_policy()"の戻り値を正しくチェックしていないことにより、任意のコードが実行可能なこと

 影響を受けるバージョンは、それぞれ以下のとおり。

  1. krb5-1.4 から krb5-1.6.2
  2. krb5-1.5 から krb5-1.6.2

 影響度は、5段階中2番目に高い「Highly critical」に位置づけられている。解決策は、Kerberos 1.5.5 または 1.6.3にアップデートすること。または、MITから提供されるパッチを適用すること。

 詳細は、下記のセキュリティーアドバイザリーを参照されたい。

  • http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2007-006.txt

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]