Vulnérabilités
Kerberos : attention à vos utilisateurs !
Par Jerome Saiz, le 04 avril 2007 à 09:47:00 - Dernière modification le 4 avril 2007.
Le système d'authentification Kerberos est victime de trois vulnérabilités importantes. La première permet à un utilisateur non authentifié de se connecter à distance sous n'importe quel compte (oui, même root !). Les deux autres autorisent un utilisateur déjà authentifié à exécuter du code, notamment sur le serveur de clé.
Kerberos, l'ancestral système d'authentification initialement développé par le MIT aux Etats-Unis, est victime de trois vulnérabilités. A elles trois, elles viennent contredire la fonction même de l'outil : authentifier les utilisateurs du système d'information et ne pas leur donner plus de droits que nécessaire.
Des trois, seule la première est exploitable par un utilisateur non authentifié au préalable. En se connectant par Telnet au serveur d'administration de Kerberos (qui héberge le
MIT Kerberos administration daemon), il est ainsi possible d'accéder au système sous n'importe quelle identité, y compris celle du super-utilisateur root. Bien entendu, cette faille béante n'est exploitable que lorsque Telnet est activé... ce qui n'a jamais été une bonne idée.Les deux vulnérabilités suivantes ne sont accessibles qu'à un utilisateur déjà authentifié dans le "Royaume" Kerberos. Elles permettent d'exécuter du code, notamment sur le serveur de clés. Les vulnérabilités sont exploitables, pour l'une, en empoisonnant le système de journalisation du système d'authentification (pour provoquer un buffer overflow), et pour l'autre en forçant le système à libérer par deux fois la mémoire (un Double Free), ce qui mène ici aussi à un buffer overflow.
Bien entendu, le fait que seuls des utilisateurs déjà au sein du Royaume soient en mesure d'exploiter ces deux dernières vulnérabilités réduit leur impact. Mais pour les nombreuses universités, centres de recherche et autres lieux semi-publics qui utilisent massivement Kerberos, ce n'est qu'une demi bonne nouvelle !
Des correctifs sont disponibles pour chacune de ces vulnérabilités, et la prochaine version (
krb5-1.6.1) les intégrera bien entendu.Attention : certains composants du Kerberos du MIT sont utilisés dans les produits de très nombreux éditeurs (notamment les librairies GSS-API et RPC), et ils sont également susceptibles d'être vulnérables.
Nous n'avons enfin pas pu confirmer si la version de Kerberos intégrée à Windows était vulnérable.
Plus d'information
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes bénéfices de l'IAM chez Sofinco, deux ans aprèsLes RSSI du monde bancaire à l'aube d'une vague de démissions ?Un nouveau Kerviel chez Morgan Stanley... comme prévuLes banques s'attendent à un nouveau KervielLe Ministre, la maîtresse et les dossiers secretsQuand Safari ouvre la porte de Windows... grâce à Internet ExplorerLe role management suscite l'intérêt des RSSIAntivirus : la révolution in the cloudKaspersky: Stéphane Le Hir monte en grade
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
