[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 'Area de Seguridad en C'omputo DGSCA- UNAM Bolet'in de Seguridad 2000-003 Fallas en la Autenticaci'on de Servicios en el Programa KERBEROS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La Noche del Miercoles 17 de mayo del 200 el MIT Kerberos Team en la ciudad de Massachusets detect'o algunas vulnerabilidades al programa que ellos desarrolan y que puden ser explotadas por los intrusos atrav'es de saturamientos de pila y memoria, ataques com'unmente conocidos como Buffer Overflow en algunos servicios y peculariedades del programa Kerberos, Usado primordialmente en los EU y que tiene reestricciones de exportaci'on fuera de los EU. Si deseas consultar este bolet'in en su formato original, te recomendamos consultar la siguiente direcci'on : http://www.cert.org/advisories/CA-2000-06.html , , , , , , , , , , , , , , , * Sistemas Afectados * , , , , , , , , , , , , , , , Fecha de Detecci'on en los EU : Mayo 17 del 2000 Fecha de Notificaci'on : Mayo 18 del 2000 'Ultima Revisi'on : Mayo 18 del 2000 Se reportan los siguientes sistemas y versiones vulnerables : * Sistemas que ejecutan el programa de autentificaci'on Kerberos 4 * Algunos sistemas ejecutando servicios de autenticaci'on en Kerberos 5 * Sistemas ejecutando el demonio de shell remoto Kerberos (krshd) * Sistemas con la utiler'ia ksu de Kerberos 5 Instalado * Sistemas con la utiler'ia v4rcp de Kerberos 5 Instalado , , , , , , , , , , , , , , , * Descripci'on del Problema * , , , , , , , , , , , , , , , Los Equipos de Seguridad a Nivel Mundial han sido notificados de una reciente falla dentro del programa Kerberos desarrolado por el MIT. Las vulnerabilidades que presentan una mayor severidad son aquellas que permiten a los intrusos obtener privilegios de superusuario dentro de los equipos ejecutando el sistema de autenticaci'on Kerberos. Si dichos servicios son habilitados con la funcionalidad de Key Distribution Center (KDC), el dominio completo del servidor Kerberos puede estar comprometido. Existen al Menos 4 formas distintas de poder explotar dichas vulnerabilidades, y todas 'estas pueden lograr que un usuario pueda obtener privilegios de Superusuario. 1.- Buffer overflow in krb_rd_req() library function Esta vulnerabilidad est'a presente en la versi'on de Kerberos 4. De igual forma puede ser explotada en la versi'on 5 si se usa en conjunto con la vulnerabilidad en krb425_conv_principal() descrita en la parte siguiente. 2.- Buffer overflow in krb425_conv_principal() library function Esta vulnerabilidad se presenta en la versi'on 5. Esta vulnerabilidad puede ser explotable en la versi'on 5 si se usa en conjunto con el exploit krb_rd_req() 3.- Buffer overflow in krshd Esta vulnerabilidad s'olo se presenta en la versi'on 5. dicha vulnerabilidad no tiene nada que ver con las dos vulnerabilidades anteriores. 4.- Buffer overflow in ksu Esta vulnerabilidad s'olo se presenta en la versi'on 5 y se corrige con el programa krb5-1.1.1 y krb5-1.0.7-beta1. , , , , , , , * IMPACTO * , , , , , , , El impacto de dicho problema puede ocasionar que un usuario pueda obtener acceso irrstricto al sistema ejecutando Kerberos. , , , , , , , * SOLUCION * , , , , , , , 1.- Aplicar los parches correspondientes Dentro del ap'endice A, anexamos los datos principales para poder actualizar y contactar al MIT kerberos TEAM si usas dicho programa. 2.- Aplicar parches del MIT Si usar Kerberos 5 te recomendamos recompilar los binarios y el c'odigo fuente as'i com aplicar los aprches disponibles proporcionados por el MIT. Para la versi'on 4 de igual forma se recomienda aplicar los parches correspondientes disponibles en : http://www.cert.org/advisories/CA-2000-06/mit_10x_patch.txt http://www.cert.org/advisories/CA-2000-06/mit_111_patch.txt 3.- Desactivar funci'onde autenticaci'on en la versi'on 4 y en la versi'on 5 si es posible. Se sugiere en ambas versiones si es posible desactivar los demonios de autenticaci'on , compilados en conjunci'on para usarse conjuntamente con Kerberos, dichos demonios pueden ser : krshd klogind telnetd 4.- Actualizar MIT Kerberos5, versi'on 1.2 Se recomienda que para los usuariso que usan Kerberos instalen la nueva versi'on de Kerberos que evitar'a dichas vulnerabilidades descritas anteriormente. Lo puedes obtener de su sitio original : http://web.mit.edu/kerberos/www/ - --------------------------------------------- APENDICE A : Informacion adicional - ---------------------------------------------- Recomendamos consultar la siguiente pagina del equipo MIT Kerberos, disponible en : http://web.mit.edu/kerberos/www/advisories/krb4buf.txt Agradecemos al CERT/CC en los EU, as'i como al MIT Kerbero Team por su apoyo en la notificaci'on y an'alisis del problema. , , , , , , , * INFORMACION * , , , , , , , Para Mayor Informaci'on o Detalles de este bolet'in contactar a: 'Area de Seguridad en C'omputo DGSCA- UNAM Tel : 56 22 81 69 Fax : 56 22 80 43 E-Mail : asc en conga super unam mx http://www.asc.unam.mx/boletines - --- Juan Carlos Guel L'opez Area de Seguridad en C'omputo E-mail: asc en conga super unam mx DGSCA, UNAM Tel.: 5622-81-69 Fax: 5622-80-43 Circuito Exterior, C. U. WWW: http://www.asc.unam.mx/ 04510 Mexico D. F. PGP: finger asc en ds5000 super unam mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.1i iQEVAwUBOSQo7j6HeEeO/+C1AQFm9wf+MQZXFZdaiZZWVD2hP2aI8B65+DbYR1xK wKgaxN0ABq/fR22RhQPoPYVXK2ad6/ZyU6mzwTzetX59P3RYTTh1wjp8nQ1Zk7c5 Ns+ROVcZoxnikbkECCp5CW9BU4NRI8/jBtt1knFvL257I7Uo1m8PHiQ7GbO9hIMR zJWo3rDw3Sk9PmqUZ0mcY7W3cEDdUzQC35SXr01Vd9CW9unaGzo+SmJqmeIN8fqJ spojS6aG2SzvA2Xvj/1vldV/5qeRI8+NWqD0EicUAUkzGBp4pFvStSp+8sZu6LA6 PdtYt94FddCKTHbCnVTBCki75Burky+3rnK/dM1a21QBn4rJdAC8Kg== =cmDR -----END PGP SIGNATURE----- -- Para desuscribirse, mande correo a: ayuda-unsubscribe en linux org mx Para comandos adicionales, envíelo a: ayuda-help en linux org mx