VPNs durch Lücken in Kerberos bedroht

Sicherheit

Das Massachusetts Institute of Technology (MIT) hat eine Reihe von Sicherheitslücken im Kerberos Distribution Center entdeckt. Das könnte für VPNs gefährliche Folgen haben. Cisco hat für seine Kunden bereits einen Patch veröffentlicht.

Bei der Schwachstelle handelt es sich um einen sogenannten ?Double-Free-Error?: Dabei wird ein Buffer von einem Wartungsmodul zweimal geleert. Wenn das passiert, kann ein Angriff auf Kerberos unternommen werden. Außerdem wurde ein Bug namens ASN.1 gefunden, der ein Modul dazu bringen kann, sich aufzuhängen, was Kerberos zum Halten bringt. Exploits für diese Schwachstellen sind zwar derzeit nicht bekannt und würden nach Einschätzung des MIT auch gute Kenntnisse und eventuell Zugang zu einem sicheren System voraussetzen. Sollten jedoch Exploits auftauchen, gilt deren Gefährlichkeit als hoch. Cisco hat bisher als einzige Unternehmen einen Patch zur Verfügung gestellt; die Probleme sollen allerdings auch in der demnächst veröffentlichten Version krb5-1.3.5 von Kerberos behoben sein.

Weitere Infos:

Cisco Patch

http://www.cisco.com/warp/public/707/cisco-sa-20040831-krb5.shtml