forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено opennews, 16-Июл-17 00:00

В пакете Heimdal Kerberos (https://www.h5l.org/advisories.html?show=2017-07-11) и реализации протокола Kerberos, поставляемой в Samba (http://www.mail-archive.com/samba-announce@lists.samba....), выявлена уязвимость (https://orpheus-lyre.info/) (CVE-2017-11103 (https://security-tracker.debian.org/tracker/CVE-2017-11103)), позволяющая атакующему притвориться заслуживающим доверия сервисом через организацию MITM-атаки.  Уязвимость присвоен критический уровень опасности. В контексте Samba уязвимость позволяет через MITM-атаку имитировать для клиента заслуживающие доверия файловые серверы SMB/CIFS, серверы печати или серверы авторизации.

Проблема вызвана некорректной организацией проверки имени сервиса KDC-REP (https://web.mit.edu/kerberos/www/krb5-latest/doc/appdev/refs...) (Key Distribution Center) при аутентификации доступа клиента к сервису через систему билетов (tickets). Суть проблемы в том, что извлечение имени сервиса  KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в то время как спецификация Kerberos 5 требует извлекать имя сервиса только из зашифрованного и аутентифицированного ответа ('enc_part'). Передача имени сервиса без шифрования позволяет атакующему, имеющему возможность вклиниться в транзитный трафик,  выдать себя за заслуживающий доверия сервис.
Проблема присутствует с первых версий Heimdal Kerberos, выпущенных в 1996 году, и устранена в  Heimdal Kerberos 7.4.0 (https://www.h5l.org), а также в выпусках Samba 4.6.6, 4.5.12, 4.4.15 (в Samba 4 встроен Heimdal). Уязвимость также затрагивает (https://support.microsoft.com/en-us/help/4022746/security-up...) системы Microsoft на базе Active Directory, например, Windows Server 2008.

MIT Kerberos (https://web.mit.edu/kerberos/)  проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos.

Уязвимость уже устранена во FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-17:05...), Debian (https://www.debian.org/security/2017/dsa-3909), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1469998)  и Ubuntu (https://www.ubuntu.com/usn/usn-3353-2/).   Дистрибутивы SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-11103) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-11103) проблеме не подвержены (неофициальный heimdal из EPEL (https://bodhi.fedoraproject.org/updates/?packages=heimdal) уязвим), так как используют MIT Kerberos, а не Heimdal  Kerberos.

URL: https://www.us-cert.gov/ncas/current-activity/2017/07/12/Sam...
Новость: http://www.opennet.ru/opennews/art.shtml?num=46859

Исходное сообщение
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..." Отправлено opennews, 16-Июл-17 00:00
В пакете Heimdal Kerberos (https://www.h5l.org/advisories.html?show=2017-07-11) и реализации протокола Kerberos, поставляемой в Samba (http://www.mail-archive.com/samba-announce@lists.samba....), выявлена уязвимость (https://orpheus-lyre.info/) (CVE-2017-11103 (https://security-tracker.debian.org/tracker/CVE-2017-11103)), позволяющая атакующему притвориться заслуживающим доверия сервисом через организацию MITM-атаки. Уязвимость присвоен критический уровень опасности. В контексте Samba уязвимость позволяет через MITM-атаку имитировать для клиента заслуживающие доверия файловые серверы SMB/CIFS, серверы печати или серверы авторизации. Проблема вызвана некорректной организацией проверки имени сервиса KDC-REP (https://web.mit.edu/kerberos/www/krb5-latest/doc/appdev/refs...) (Key Distribution Center) при аутентификации доступа клиента к сервису через систему билетов (tickets). Суть проблемы в том, что извлечение имени сервиса KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в то время как спецификация Kerberos 5 требует извлекать имя сервиса только из зашифрованного и аутентифицированного ответа ('enc_part'). Передача имени сервиса без шифрования позволяет атакующему, имеющему возможность вклиниться в транзитный трафик, выдать себя за заслуживающий доверия сервис. Проблема присутствует с первых версий Heimdal Kerberos, выпущенных в 1996 году, и устранена в Heimdal Kerberos 7.4.0 (https://www.h5l.org), а также в выпусках Samba 4.6.6, 4.5.12, 4.4.15 (в Samba 4 встроен Heimdal). Уязвимость также затрагивает (https://support.microsoft.com/en-us/help/4022746/security-up...) системы Microsoft на базе Active Directory, например, Windows Server 2008. MIT Kerberos (https://web.mit.edu/kerberos/) проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos. Уязвимость уже устранена во FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-17:05...), Debian (https://www.debian.org/security/2017/dsa-3909), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1469998) и Ubuntu (https://www.ubuntu.com/usn/usn-3353-2/). Дистрибутивы SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-11103) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-11103) проблеме не подвержены (неофициальный heimdal из EPEL (https://bodhi.fedoraproject.org/updates/?packages=heimdal) уязвим), так как используют MIT Kerberos, а не Heimdal Kerberos. URL: https://www.us-cert.gov/ncas/current-activity/2017/07/12/Sam... Новость: http://www.opennet.ru/opennews/art.shtml?num=46859

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В пакете Heimdal Kerberos (https://www.h5l.org/advisories.html?show=2017-07-11) и 
> реализации протокола Kerberos, поставляемой в Samba (http://www.mail-archive.com/samba-announce@lists.samba.org/msg00400.html), 
> выявлена уязвимость (https://orpheus-lyre.info/) (CVE-2017-11103 (https://security-tracker.debian.org/tracker/CVE-2017-11103)), 
> позволяющая атакующему притвориться заслуживающим доверия сервисом через организацию 
> MITM-атаки.  Уязвимость присвоен критический уровень опасности. В контексте Samba уязвимость 
> позволяет через MITM-атаку имитировать для клиента заслуживающие доверия файловые серверы 
> SMB/CIFS, серверы печати или серверы авторизации.

> Проблема вызвана некорректной организацией проверки имени сервиса KDC-REP (https://web.mit.edu/kerberos/www/krb5-latest/doc/appdev/refs/types/krb5_kdc_rep.html) 
> (Key Distribution Center) при аутентификации доступа клиента к сервису через систему 
> билетов (tickets). Суть проблемы в том, что извлечение имени сервиса  
> KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в 
> то время как спецификация Kerberos 5 требует извлекать имя сервиса только 
> из зашифрованного и аутентифицированного ответа ('enc_part'). Передача имени сервиса 
> без шифрования позволяет атакующему, имеющему возможность вклиниться в транзитный трафик, 
>  выдать себя за заслуживающий доверия сервис.

> Проблема присутствует с первых версий Heimdal Kerberos, выпущенных в 1996 году, и 
> устранена в  Heimdal Kerberos 7.4.0 (https://www.h5l.org), а также в выпусках 
> Samba 4.6.6, 4.5.12, 4.4.15 (в Samba 4 встроен Heimdal). Уязвимость также 
> затрагивает (https://support.microsoft.com/en-us/help/4022746/security-update-for-kerberos-sname-security-feature-vulnerability) 
> системы Microsoft на базе Active Directory, например, Windows Server 2008.

> MIT Kerberos (https://web.mit.edu/kerberos/)  проблеме не подвержен, как не подвержены 
> проблеме и исполняемые файлы Samba, собранные с MIT Kerberos.

>  Уязвимость уже устранена во FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-17:05.heimdal.asc), 
> Debian (https://www.debian.org/security/2017/dsa-3909), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1469998) 
>  и Ubuntu (https://www.ubuntu.com/usn/usn-3353-2/).   Дистрибутивы SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-11103) 
> и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-11103) проблеме не подвержены 
> (неофициальный heimdal из EPEL (https://bodhi.fedoraproject.org/updates/?packages=heimdal) 
> уязвим), так как используют MIT Kerberos, а не Heimdal  Kerberos.

> URL: https://www.us-cert.gov/ncas/current-activity/2017/07/12/Samba-Releases-Security-Updates 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=46859

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру