公開日:2007/04/04 最終更新日:2007/04/04

JVNTA07-093B
MIT Kerberos に複数の脆弱性
緊急

概要


MIT Kerberos の実装には複数の脆弱性が存在します。

影響を受けるシステム

  • krb5-1.6 およびそれ以前

    また、MIT krb5 に含まれる GSS-API ライブラリ や RPC ライブラリを使用するアプリケーションも影響を受ける可能性があります。

詳細情報

想定される影響

認証されたユーザによって、管理者権限で任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。結果として kerberos 認証においてユーザを適切に認証できなくなったり、システムを変更されたりする可能性もあります。

対策方法

ベンダ情報

参考情報

  1. US-CERT Vulnerability Note VU#220816
    MIT Kerberos 5 telnet daemon allows login as arbitrary user
  2. US-CERT Vulnerability Note VU#704024
    MIT Kerberos 5 administration daemon stack overflow in krb5_klog_syslog()
  3. US-CERT Vulnerability Note VU#419344
    MIT Kerberos 5 GSS-API library double-free vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA07-093B
MIT Kerberos Vulnerabilities
CPNI Advisory
TRnotes
CVE
JVN iPedia