CERTA-2000-AVI-001

Vulnerability from certfr_avis - Published: - Updated:

Le CERT Coordination Center a récemment été informé de plusieurs vulnérabilités liées à des débordements de variables dans leur logiciel d'authentification Kerberos. La vulnérabilité la plus grave permet à des intrus distants d'obtenir les privilèges de root sur le système sur lequel tourne les services qui utilisent l'authentification de Kerberos. Si des services vulnérables sont autorisés sur le système servant de Centre de Distribution des clefs (KDC), il se peut que le domaine Kerberos entier soit compromis.

Description

Il y a au moins quatre vulnérabilités distinctes dans les différentes versions et implémentations du logiciel Kerberos. Toutes ces vulnérabilités peuvent être exploitées pour obtenir les privilèges de root.

Débordement de variable dans la fonction krb_rd_req()

: Cette vulnérabilité est présente dans la version 4 de Kerberos. Elle est aussi présente dans la version 5 (dans le mode de compatibilité avec la version 4). Cette vulnérabilité peut être exploitée dans les services qui utilisent la version 4 ou la version 5 quand ils effectuent de l'authentification selon la version 4. Cette vulnérabilité peut aussi être exploitée localement à travers le programme de Kerberos 5 v4rcp qui est setuid root.

Il se peut que cette vulnérabilité soit exploitable dans la
version 4. Cette vulnérabilité est exploitable dans la version (en
conjonction avec la vulnérabilité de la fonction
krb425_conv_principal(), décrite plus loin).

Débordement de variable dans la fonction krb425_conv_principal()

: Cette vulnérabilité est présente dans le code de compatibilité ascendante de la version 5. Cette vulnérabilité est connue pour être exploitable dans la version 5 en conjonction avec une exploitation de la vulnérabilité concernant krb_rd_req().

Débordement de variables dans krshd

: Cette vulnérabilité est seulement présente dans la version 5. Cette vulnérabilité n'est pas liée aux autres vulnérabilités.

Débordement de variable dans ksu

: Cette vulnérabilité est seulement présente dans la version 5 et est corrigée dans les versions krb5-1.1.1 et krb5-1.0.7-beta1. La vulnérabilité de ksu n'est pas liée aux autres vulnérabilités.

Contournement provisoire

Provisoirement par des configuration il est possible de se prémunir contre certaines vulnérabilités :

  • certains daemons lancés par inetd peuvent s'avérer plus sûr contre l'exploitation de la vulnérabilité si la ligne de commande qui les invoque est modifiée pour exclure l'usage de Kerberos 4 pour l'authentification. Consultez la page de manuel de votre distribution Kerberos pour déterminer la ligne de commande correcte pour désactiver l'authentification Kerberos 4. Les daemons pour lesquels il se peut qu'une telle démarche fonctionne incluent :
    • krshd^1^ ;
    • klogind ;
    • telnetd.
  • les permissions setuid du programme v4rcp doivent être retirées pour éviter une exploitation locale de la vulnérabilité ;
  • les permissions setuid du programme du programme krb5 ksu doivent être retirées s'il n'a pas été compilé depuis les distributions krb5-1.1.1, krb5-1.0.7-beta1 ou ultérieures. Il semble sûr de remplacer l'exécutable ksu par un nouvel exécutable compilé à partir des distributions krb5-1.1.1 ou krb5-1.0.7-beta1 pourvu qu'il ne soit pas compilé avec des bibliothèques partagées (la vulnéravilité est due à certains bogues dans les bibliothèques). Si ksu a été compilé avec des bibliothèques partagées, il vaut mieux installer une nouvelle version pour laquelle le bogue dans la bibliothèque a été résolu.
  • dans la distribution du MIT de Kerberos 5, il se peut qu'il ne soit pas possible de désactiver l'authentification Kerberos 4 dans le programme ftpd. Notez que seules les versions krb5-1.1.1 et ultérieures ont la capacité de recevoir des authentification Kerberos 4.

Solution

6.1 Appliquez le patch de votre fournisseur

Si votre fournisseur n'apparaît pas dans la liste, veuillez contacter le CERTA.

6.1.1 Microsoft

Aucun produit Microsoft n'est touché par cette vulnérabilité.

6.1.2 MIT Kerberos

L'avis du MIT sur ce sujet est disponible sur :

http://web.mit.edu/kerberos/www/advisories/krb4buf.txt

6.1.3 NetBSD

NetBSD possède deux référentiels de codes pour les logiciels cryptographiques en raison des lois américaines concernant l'export (et aussi des considérations ayant trait à des brevets).

L'arborescence crypto-intl destiné à l'utilisation hors des États-Unis n'est pas affecté.

6.1.4 OpenBSD

OpenBSD utilise la ditribution KTH de Kerberos, qui est réputée non vulnérable.

6.1.5 L'université de Washington

Les logiciels publiés par l'Université de Washington ne sont pas distribués sous forme de distribution binaire. C'est à l'installateur de décider à la compilation si il utilise ou non Kerberos.

Les serveurs POP3 et IMAP de l'Université de Washington sont basés sur Kerberos 5 et ne font jamais appel à Kerberos 4. A ce titre il ne sont pas vulnérables.

6.1.6 Autres

La meilleure action à conseiller est de patcher le code dans la bibliothèque krb4 et en outre patcher le code du programme krshd. Les patches suivants incluent des corrections moins essentielles qui affectent aussi les débordement de variable dans du code potentiellement vulnérable, mais pour lesquels l'exploitation des vulnérabilités est sensiblement plus difficile à construire.

Les patches sont disponibles à l'URL

http://www.cert.org/advisories/CA-2000-06/mit_10x_patch.txt
None
Impacted products
Vendor Product Description
N/A N/A les systèmes sur lesquels l'utilitaire ksu de kerberos 5 est installé ;
N/A N/A les systèmes faisant fonctionner des services authentifiés par Kerberos 4 ;
N/A N/A certains systèmes faisant fonctionner des services authentifiés par Kerberos 5 ;
N/A N/A les systèmes faisant fonctionner le démon de shell distant « kerbérisé » (krshd) ;
N/A N/A les systèmes sur lesquels l'utilitaire krcp de kerberos 5 est installé ;
References
Avis CA-2000-06 du CERT/CC None vendor-advisory
Avis de l'équipe Kerberos du MIT None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "les syst\u00e8mes sur lesquels l\u0027utilitaire ksu de kerberos 5 est install\u00e9 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "les syst\u00e8mes faisant fonctionner des services authentifi\u00e9s par Kerberos 4 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "certains syst\u00e8mes faisant fonctionner des services authentifi\u00e9s par Kerberos 5 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "les syst\u00e8mes faisant fonctionner le d\u00e9mon de shell distant \u00ab kerb\u00e9ris\u00e9 \u00bb (krshd) ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "les syst\u00e8mes sur lesquels l\u0027utilitaire krcp de kerberos 5 est install\u00e9 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nIl y a au moins quatre vuln\u00e9rabilit\u00e9s distinctes dans les diff\u00e9rentes\nversions et impl\u00e9mentations du logiciel Kerberos. Toutes ces\nvuln\u00e9rabilit\u00e9s peuvent \u00eatre exploit\u00e9es pour obtenir les privil\u00e8ges de\nroot.\n\n**D\u00e9bordement de variable dans la fonction krb_rd_req()**\n\n:   Cette vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans la version 4 de Kerberos. Elle\n    est aussi pr\u00e9sente dans la version 5 (dans le mode de compatibilit\u00e9\n    avec la version 4). Cette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e dans les\n    services qui utilisent la version 4 ou la version 5 quand ils\n    effectuent de l\u0027authentification selon la version 4. Cette\n    vuln\u00e9rabilit\u00e9 peut aussi \u00eatre exploit\u00e9e localement \u00e0 travers le\n    programme de Kerberos 5 v4rcp qui est setuid root.\n\n    Il se peut que cette vuln\u00e9rabilit\u00e9 soit exploitable dans la\n    version 4. Cette vuln\u00e9rabilit\u00e9 est exploitable dans la version (en\n    conjonction avec la vuln\u00e9rabilit\u00e9 de la fonction\n    krb425_conv_principal(), d\u00e9crite plus loin).\n\n**D\u00e9bordement de variable dans la fonction krb425_conv_principal()**\n\n:   Cette vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans le code de compatibilit\u00e9\n    ascendante de la version 5. Cette vuln\u00e9rabilit\u00e9 est connue pour \u00eatre\n    exploitable dans la version 5 en conjonction avec une exploitation\n    de la vuln\u00e9rabilit\u00e9 concernant krb_rd_req().\n\n**D\u00e9bordement de variables dans krshd**\n\n:   Cette vuln\u00e9rabilit\u00e9 est seulement pr\u00e9sente dans la version 5. Cette\n    vuln\u00e9rabilit\u00e9 n\u0027est pas li\u00e9e aux autres vuln\u00e9rabilit\u00e9s.\n\n**D\u00e9bordement de variable dans ksu**\n\n:   Cette vuln\u00e9rabilit\u00e9 est seulement pr\u00e9sente dans la version 5 et est\n    corrig\u00e9e dans les versions krb5-1.1.1 et krb5-1.0.7-beta1. La\n    vuln\u00e9rabilit\u00e9 de ksu n\u0027est pas li\u00e9e aux autres vuln\u00e9rabilit\u00e9s.\n\n## Contournement provisoire\n\nProvisoirement par des configuration il est possible de se pr\u00e9munir\ncontre certaines vuln\u00e9rabilit\u00e9s :\n\n-   certains daemons lanc\u00e9s par inetd peuvent s\u0027av\u00e9rer plus s\u00fbr contre\n    l\u0027exploitation de la vuln\u00e9rabilit\u00e9 si la ligne de commande qui les\n    invoque est modifi\u00e9e pour exclure l\u0027usage de Kerberos 4 pour\n    l\u0027authentification. Consultez la page de manuel de votre\n    distribution Kerberos pour d\u00e9terminer la ligne de commande correcte\n    pour d\u00e9sactiver l\u0027authentification Kerberos 4. Les daemons pour\n    lesquels il se peut qu\u0027une telle d\u00e9marche fonctionne incluent :\n    -   krshd[^1^](#foot88) ;\n    -   klogind ;\n    -   telnetd.\n-   les permissions setuid du programme v4rcp doivent \u00eatre retir\u00e9es pour\n    \u00e9viter une exploitation locale de la vuln\u00e9rabilit\u00e9 ;\n-   les permissions setuid du programme du programme krb5 ksu doivent\n    \u00eatre retir\u00e9es s\u0027il n\u0027a pas \u00e9t\u00e9 compil\u00e9 depuis les distributions\n    krb5-1.1.1, krb5-1.0.7-beta1 ou ult\u00e9rieures. Il semble s\u00fbr de\n    remplacer l\u0027ex\u00e9cutable ksu par un nouvel ex\u00e9cutable compil\u00e9 \u00e0 partir\n    des distributions krb5-1.1.1 ou krb5-1.0.7-beta1 pourvu qu\u0027il ne\n    soit pas compil\u00e9 avec des biblioth\u00e8ques partag\u00e9es (la vuln\u00e9ravilit\u00e9\n    est due \u00e0 certains bogues dans les biblioth\u00e8ques). Si ksu a \u00e9t\u00e9\n    compil\u00e9 avec des biblioth\u00e8ques partag\u00e9es, il vaut mieux installer\n    une nouvelle version pour laquelle le bogue dans la biblioth\u00e8que a\n    \u00e9t\u00e9 r\u00e9solu.\n-   dans la distribution du MIT de Kerberos 5, il se peut qu\u0027il ne soit\n    pas possible de d\u00e9sactiver l\u0027authentification Kerberos 4 dans le\n    programme ftpd. Notez que seules les versions krb5-1.1.1 et\n    ult\u00e9rieures ont la capacit\u00e9 de recevoir des authentification\n    Kerberos 4.\n\n## Solution\n\n## 6.1 Appliquez le patch de votre fournisseur\n\nSi votre fournisseur n\u0027appara\u00eet pas dans la liste, veuillez contacter le\nCERTA.\n\n### 6.1.1 Microsoft\n\nAucun produit Microsoft n\u0027est touch\u00e9 par cette vuln\u00e9rabilit\u00e9.\n\n### 6.1.2 MIT Kerberos\n\nL\u0027avis du MIT sur ce sujet est disponible sur :\n\n    http://web.mit.edu/kerberos/www/advisories/krb4buf.txt\n\n### 6.1.3 NetBSD\n\nNetBSD poss\u00e8de deux r\u00e9f\u00e9rentiels de codes pour les logiciels\ncryptographiques en raison des lois am\u00e9ricaines concernant l\u0027export (et\naussi des consid\u00e9rations ayant trait \u00e0 des brevets).\n\nL\u0027arborescence crypto-intl destin\u00e9 \u00e0 l\u0027utilisation hors des \u00c9tats-Unis\nn\u0027est pas affect\u00e9.\n\n### 6.1.4 OpenBSD\n\nOpenBSD utilise la ditribution KTH de Kerberos, qui est r\u00e9put\u00e9e non\nvuln\u00e9rable.\n\n### 6.1.5 L\u0027universit\u00e9 de Washington\n\nLes logiciels publi\u00e9s par l\u0027Universit\u00e9 de Washington ne sont pas\ndistribu\u00e9s sous forme de distribution binaire. C\u0027est \u00e0 l\u0027installateur de\nd\u00e9cider \u00e0 la compilation si il utilise ou non Kerberos.\n\nLes serveurs POP3 et IMAP de l\u0027Universit\u00e9 de Washington sont bas\u00e9s sur\nKerberos 5 et ne font jamais appel \u00e0 Kerberos 4. A ce titre il ne sont\npas vuln\u00e9rables.\n\n### 6.1.6 Autres\n\nLa meilleure action \u00e0 conseiller est de patcher le code dans la\nbiblioth\u00e8que krb4 et en outre patcher le code du programme krshd. Les\npatches suivants incluent des corrections moins essentielles qui\naffectent aussi les d\u00e9bordement de variable dans du code potentiellement\nvuln\u00e9rable, mais pour lesquels l\u0027exploitation des vuln\u00e9rabilit\u00e9s est\nsensiblement plus difficile \u00e0 construire.\n\nLes patches sont disponibles \u00e0 l\u0027URL\n\n    http://www.cert.org/advisories/CA-2000-06/mit_10x_patch.txt\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-AVI-001",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-05-18T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Les logiciels vuln\u00e9rables peuvent permettre \u00e0 des intrus d\u0027obtenir l\u0027acc\u00e8s aux privil\u00e8ges de root. le risque est r\u00e9el puisque des exploitations de ces vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 publi\u00e9es"
    }
  ],
  "summary": "Le \u003cspan class=\"textit\"\u003eCERT Coordination Center\u003c/span\u003e a r\u00e9cemment \u00e9t\u00e9\ninform\u00e9 de plusieurs vuln\u00e9rabilit\u00e9s li\u00e9es \u00e0 des d\u00e9bordements de\nvariables dans leur logiciel d\u0027authentification Kerberos. La\nvuln\u00e9rabilit\u00e9 la plus grave permet \u00e0 des intrus distants d\u0027obtenir les\nprivil\u00e8ges de \u003cspan class=\"textit\"\u003eroot\u003c/span\u003e sur le syst\u00e8me sur lequel\ntourne les services qui utilisent l\u0027authentification de Kerberos. Si des\nservices vuln\u00e9rables sont autoris\u00e9s sur le syst\u00e8me servant de Centre de\nDistribution des clefs (KDC), il se peut que le domaine Kerberos entier\nsoit compromis.\n",
  "title": "D\u00e9bordements de variables dans les services authentifi\u00e9s par Kerberos",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis CA-2000-06 du CERT/CC",
      "url": null
    },
    {
      "published_at": null,
      "title": "Avis de l\u0027\u00e9quipe Kerberos du MIT",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.