[IBM] Schwachstellen in Kerberos

win-sec-ssc at dfn-cert.de win-sec-ssc at dfn-cert.de
Fri Oct 1 16:09:11 CEST 2004


-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des IBM Managed Security
Services. Wir geben diese Informationen unveraendert an Sie weiter.

Kerberos 5 ist ein Netzwerk-Authentifikationssystem, das urspruenglich
am MIT entwickelt wurde. Intern wird an einigen Stellen die Abstract
Syntax Notation (ASN.1) zu Spezifikation von Datentypen verwendet. Die
Basic Encoding Rules (BER) sind ein Regelsatz zur konkreten Kodierung
von ASN.1 Datentypen auf dem Netzwerk. Das Key Distribution Center (KDC)
verwaltet die Schluessel der Benutzer und Server.

CAN-2004-0642 / VU#795632 - Double-Free Fehler im KDC-Code und Kerberos
Bibliotheken

  Die Funktionen der Kerberos-Bibliothek zur Dekodierung von
  ASN.1-Datentypen geben im Falle von Fehlern angeforderten Speicher
  zwar wieder frei, setzen die entsprechenden Zeiger aber nicht auf
  NULL. Die aufrufende Funktion versucht, diesen Speicherbereich erneut
  freizugeben. Analog verfahren Funktionen im KDC-Code.

  Ein Angreifer kann diese Schwachstelle ueber das Netz auf zweierlei
  Weise ausnutzen:

  - Durch Senden von Nachrichten mit entsprechend formulierten
  ASN.1-Daten an eine Kerberos-Anwendung kann ein Angreifer beliebigen
  Code mit den Privilegien der Anwendung ausfuehren. Dazu muss der
  Angreifer in der Lage sein, ein KDC oder einen Kerberos-Server im
  Netzwerk zu verkoerpern.

  - Durch Senden von Nachrichten mit entsprechend formulierten
  ASN.1-Daten an ein KDC kann ein Angreifer beliebigen Code mit den
  Privilegien des KDC ausfuehren. Eine Authentifizierung gegenueber dem
  KDC ist nicht notwendig.

CAN-2004-0643 / VU#866472 - Double-Free Fehler in krb5_rd_cred()

  krb5_rd_cred() ruft die Funktion decode_krb5_enc_cred_part() auf. Im
  Fehlerfall versucht krb5_rd_cred() den von decode_krb5_enc_cred_part()
  angeforderten Speicher erneut freizugeben.

  Ein Angreifer kann diese Schwachstelle ueber das Netz dazu ausnutzen,
  beliebigen Code mit den Privilegien eines Kerberos-Servers
  auszufuehren, indem er/sie Nachrichten mit entsprechend formulierten
  ASN.1-Daten an den Server sendet. Da decode_krb5_enc_cred_part() erst
  nach dem Entschluesseln der Kerberos-Credentials aufgerufen wird, muss
  der Angreifer sich vorher authentifizieren.

CAN-2004-0644 / VU#550464 - Denial-of-Service Schwachstellen im ASN.1
Decoder

  Aus Abwaertskompatibilitaetsgruenden ist der ASN.1 Decoder der MIT
  Kerberos 5 Implementierung in der Lage, die BER-Kodierung eines ASN.1
  SEQUENCE Datentyps mit unbestimmter Laenge zu dekodieren. Aufgrund
  eines Implementierungsfehlers kann die Funktion asn1buf_skiptail()
  dabei in eine Endlosschleife geraten.

  Ein Angreifer kann diese Schwachstelle ueber das Netz zu einem
  Denial-of-Service Angriff ausnutzen, indem er/sie eine entsprechend
  formulierte ASN.1 Nachricht an eine Kerberos-Anwendung, ein
  Key-Distribution Center (KDC) oder einen Kerberos-Server sendet.


Betroffen sind die folgenden Software Pakete und Plattformen:

  Network Authentication Service bis einschliesslich Version 1.3.0.1
  Network Authentication Service Version 1.4.0.0

  AIX 5.1, AIX 5.2 und AIX 5.3.

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT Services GmbH


- -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

IBM SECURITY ADVISORY

First Issued: Thu Sep 30 14:42:06 CDT 2004

===========================================================================
                           VULNERABILITY SUMMARY

VULNERABILITY:      Double free vulnerabilities may result in a denial of
                    service or allow an attacker to execute arbitrary code.
                    A vulnerability in the ASN.1 decoder library may
                    allow an attacker to cause an infinite loop
                    resulting in a denial of service.

PLATFORMS:          AIX 5.1, AIX 5.2 and AIX 5.3.

SOLUTION:           Apply the fixes described below.

THREAT:             A remote attacker may execute arbitrary code or cause
                    a denial of service against a KDC or kerberoized
                    daemon or client.

CERT VU Number:     VU#795632 (CAN-2004-0642), VU#866472 (CAN-2004-0643)
                    and VU#550464 (CAN-2004-0644)
===========================================================================
                           DETAILED INFORMATION


I.  Description
===============
The MIT Kerberos team recently reported various vulnerabilities in Kerberos
version 5. AIX includes several kerberoized applications which are affected
by these vulnerabilities. The applications include NFS version 4.0; the
LDAP, KRB5 and KRB5A authentication modules; OpenSSH and the secure
r-commands (rsh, krshd, rlogin, krlogind, ftp, ftpd and telnet, telnetd
when configured to use Kerberos). Kerberos is available for AIX via Network
Authentication Service on the Expansion Pack.

VU#795632 (CAN-2004-0642) and VU#866472 (CAN-2004-0643) may allow an
attacker to execute arbitrary code on a KDC, kerberoized daemon or
kerberoized client. VU#550464 (CAN-2004-0644) may be exploited to cause a
KDC, kerberoized daemon or kerberoized client to hang in an infinite loop
resulting in a denial of service. More information about these
vulnerabilities can be found in MIT krb5 security advisories 2004-002 and
2004-003 which are located at http://web.mit.edu/kerberos/advisories/.

The following versions of Network Authentication Service are vulnerable:

     * Network Authentication Service 1.3.0.1 and earlier
     * Network Authentication Service 1.4.0.0

To determine what version of Network Authentication Service is installed,
execute the following commands:

# lslpp -L krb5.client.rte
# lslpp -L krb5.server.rte

If the filesets are installed they will be listed along with version
information, state, type and a description. The first command prints
information for the client fileset and the second command prints
information for the server fileset. Affected hosts should upgrade all
affected Network Authentication Service filesets that are installed.


II. Impact
==========

A remote attacker may cause a denial of service or execute arbitrary code


More information about the Security-Announce mailing list