30-12-2009

Se ha anunciado una vulnerabilidad en Kerberos (krb5-1.7) que podría ser empleada por un atacante remoto sin autenticar para provocar condiciones de denegación de servicio.

MIT kerberos krb5-1.7

Riesgo:   Alto

Kerberos es un protocolo de autenticación de red diseñado para ofrecer un sistema de autenticación fuerte para aplicaciones cliente/servidor utilizando criptografía de clave secreta. El Instituto Tecnológico de Massachusetts (MIT) ofrece una versión gratuita de la implementación de este protocolo.

La vulnerabilidad reside en un error en el manejo de punteros en la implementación de autenticación interdominios (cross-realm). Un atacante remoto no autenticado podría explotar este problema mediante peticiones especialmente construidas para provocar la caída del KDC (Key Distribution Center).

Se ha confirmado que se trata de un error en la implementación de MIT krb5 (que solo afecta a krb5-1.7), y no es una vulnerabilidad del protocolo Kerberos.

Existen tres alternativas para solventar el problema:

1. Actualizar a la versión (aparecerá en breve) krb5-1.7.1.
2. Deshabilitar la posibilidad de hacer 'realm referral' empleando la directiva "no_host_referral":

        [kdcdefaults]
                no_host_referral = *

  or

        [realms]
                EXAMPLE.COM = {
                        # ... other configuration settings ...
                        no_host_referral = *
                }
 
3. Se ha publicado un parche disponible en:

http://web.mit.edu/kerberos/advisories/2009-003-patch.txt