Bolet'in Seguridad 2000-004
Area de Seguridad en Computo
asc en conga.super.unam.mx
Jue Mayo 18 12:31:14 CDT 2000
-----BEGIN PGP SIGNED MESSAGE-----
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
'Area de Seguridad en C'omputo
DGSCA- UNAM
Bolet'in de Seguridad 2000-003
Fallas en la Autenticaci'on de Servicios en el Programa KERBEROS
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La Noche del Miercoles 17 de mayo del 200 el MIT Kerberos Team en la
ciudad de Massachusets detect'o algunas vulnerabilidades al programa que
ellos desarrolan y que puden ser explotadas por los intrusos atrav'es de
saturamientos de pila y memoria, ataques com'unmente conocidos como Buffer
Overflow en algunos servicios y peculariedades del programa Kerberos,
Usado primordialmente en los EU y que tiene reestricciones de exportaci'on
fuera de los EU.
Si deseas consultar este bolet'in en su formato original, te recomendamos
consultar la siguiente direcci'on :
http://www.cert.org/advisories/CA-2000-06.html
, , , , , , , , , , , , , , ,
* Sistemas Afectados *
, , , , , , , , , , , , , , ,
Fecha de Detecci'on en los EU : Mayo 17 del 2000
Fecha de Notificaci'on : Mayo 18 del 2000
'Ultima Revisi'on : Mayo 18 del 2000
Se reportan los siguientes sistemas y versiones vulnerables :
* Sistemas que ejecutan el programa de autentificaci'on Kerberos 4
* Algunos sistemas ejecutando servicios de autenticaci'on en
Kerberos 5
* Sistemas ejecutando el demonio de shell remoto Kerberos (krshd)
* Sistemas con la utiler'ia ksu de Kerberos 5 Instalado
* Sistemas con la utiler'ia v4rcp de Kerberos 5 Instalado
, , , , , , , , , , , , , , ,
* Descripci'on del Problema *
, , , , , , , , , , , , , , ,
Los Equipos de Seguridad a Nivel Mundial han sido notificados de una
reciente falla dentro del programa Kerberos desarrolado por el MIT. Las
vulnerabilidades que presentan una mayor severidad son aquellas que
permiten a los intrusos obtener privilegios de superusuario dentro de los
equipos ejecutando el sistema de autenticaci'on Kerberos. Si dichos
servicios son habilitados con la funcionalidad de Key Distribution Center
(KDC), el dominio completo del servidor Kerberos puede estar comprometido.
Existen al Menos 4 formas distintas de poder explotar dichas
vulnerabilidades, y todas 'estas pueden lograr que un usuario pueda
obtener privilegios de Superusuario.
1.- Buffer overflow in krb_rd_req() library function
Esta vulnerabilidad est'a presente en la versi'on de Kerberos 4. De igual
forma puede ser explotada en la versi'on 5 si se usa en conjunto con la
vulnerabilidad en krb425_conv_principal() descrita en la parte siguiente.
2.- Buffer overflow in krb425_conv_principal() library function
Esta vulnerabilidad se presenta en la versi'on 5. Esta vulnerabilidad
puede ser explotable en la versi'on 5 si se usa en conjunto con el exploit
krb_rd_req()
3.- Buffer overflow in krshd
Esta vulnerabilidad s'olo se presenta en la versi'on 5. dicha
vulnerabilidad no tiene nada que ver con las dos vulnerabilidades
anteriores.
4.- Buffer overflow in ksu
Esta vulnerabilidad s'olo se presenta en la versi'on 5 y se corrige con el
programa krb5-1.1.1 y krb5-1.0.7-beta1.
, , , , , , ,
* IMPACTO *
, , , , , , ,
El impacto de dicho problema puede ocasionar que un usuario pueda
obtener acceso irrstricto al sistema ejecutando Kerberos.
, , , , , , ,
* SOLUCION *
, , , , , , ,
1.- Aplicar los parches correspondientes
Dentro del ap'endice A, anexamos los datos principales para poder
actualizar y contactar al MIT kerberos TEAM si usas dicho programa.
2.- Aplicar parches del MIT
Si usar Kerberos 5 te recomendamos recompilar los binarios y el c'odigo
fuente as'i com aplicar los aprches disponibles proporcionados por el MIT.
Para la versi'on 4 de igual forma se recomienda aplicar los parches
correspondientes disponibles en :
http://www.cert.org/advisories/CA-2000-06/mit_10x_patch.txt
http://www.cert.org/advisories/CA-2000-06/mit_111_patch.txt
3.- Desactivar funci'onde autenticaci'on en la versi'on 4 y en la versi'on
5 si es posible.
Se sugiere en ambas versiones si es posible desactivar los demonios de
autenticaci'on , compilados en conjunci'on para usarse conjuntamente con
Kerberos, dichos demonios pueden ser :
krshd
klogind
telnetd
4.- Actualizar MIT Kerberos5, versi'on 1.2
Se recomienda que para los usuariso que usan Kerberos instalen la nueva
versi'on de Kerberos que evitar'a dichas vulnerabilidades descritas
anteriormente. Lo puedes obtener de su sitio original :
http://web.mit.edu/kerberos/www/
- ---------------------------------------------
APENDICE A : Informacion adicional
- ----------------------------------------------
Recomendamos consultar la siguiente pagina del equipo MIT Kerberos,
disponible en :
http://web.mit.edu/kerberos/www/advisories/krb4buf.txt
Agradecemos al CERT/CC en los EU, as'i como al MIT Kerbero Team por su
apoyo en la notificaci'on y an'alisis del problema.
, , , , , , ,
* INFORMACION *
, , , , , , ,
Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
'Area de Seguridad en C'omputo
DGSCA- UNAM
Tel : 56 22 81 69
Fax : 56 22 80 43
E-Mail : asc en conga.super.unam.mx
http://www.asc.unam.mx/boletines
- ---
Juan Carlos Guel L'opez
Area de Seguridad en C'omputo E-mail: asc en conga.super.unam.mx
DGSCA, UNAM Tel.: 5622-81-69 Fax: 5622-80-43
Circuito Exterior, C. U. WWW: http://www.asc.unam.mx/
04510 Mexico D. F. PGP: finger asc en ds5000.super.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i
iQEVAwUBOSQo7j6HeEeO/+C1AQFm9wf+MQZXFZdaiZZWVD2hP2aI8B65+DbYR1xK
wKgaxN0ABq/fR22RhQPoPYVXK2ad6/ZyU6mzwTzetX59P3RYTTh1wjp8nQ1Zk7c5
Ns+ROVcZoxnikbkECCp5CW9BU4NRI8/jBtt1knFvL257I7Uo1m8PHiQ7GbO9hIMR
zJWo3rDw3Sk9PmqUZ0mcY7W3cEDdUzQC35SXr01Vd9CW9unaGzo+SmJqmeIN8fqJ
spojS6aG2SzvA2Xvj/1vldV/5qeRI8+NWqD0EicUAUkzGBp4pFvStSp+8sZu6LA6
PdtYt94FddCKTHbCnVTBCki75Burky+3rnK/dM1a21QBn4rJdAC8Kg==
=cmDR
-----END PGP SIGNATURE-----
--
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx
Más información sobre la lista de distribución Ayuda