Vulnérabilités

Une vulnérabilité majeure pour Kerberos.

Par Jerome Saiz, le 03 nov 2002 à 16:06:00.

Une grave vulnérabilité a été découverte dans de nombreuses implémentations de Kerberos, le protocole d'authentification du Massachusetts Institute of Technology. Elle permettrait de prendre le contrôle du saint des saints, le centre de distribution des clés.

Le risque est à prendre au sérieux : un dépassement de mémoire tampon dans un démon d'administration de Kerberos 4 permettrait à un pirate de prendre le contrôle du système qui l'exécute. Pire : ce programme est aussi utilisé par Kerberos 5, afin d'assurer la compatibilité avec la version antérieure. Les deux versions sont donc concernées par cette vulnérabilité.
Il n'est pas nécessaire de s'authentifier auprès de Kerberos pour pouvoir exploiter cette faille, ce qui la rend plus grave encore : n'importe qui capable d'accéder au réseau sur lequel fonctionne Kerberos peut compromettre le système. Cela vise tout particulièrement les administrateurs qui exploitent un centre de distribution des clés (KDC) accessible depuis Internet (une configuration risquée en premier lieu !).
En prenant le contrôle du KDC, un pirate obtiendrait accès à tous les comptes utilisateurs sur tous les serveurs qui dépendent de ce centre de distribution de clés. Pour qui exploite Kerberos, ce scénario est l'un des pires envisagés.
Des correctifs sont disponibles, et devraient être appliqués immédiatement.

Plus d'information

La page des alertes et des correctifs sur le site du MIT.

Une vulnérabilité majeure pour Yahoo! Messenger (11 juin 2007)
Une vulnérabilité pour les navigateurs libres. (10 juil 2004)
Lot de vulnérabilités pour Real et ses Players. (06 fév 2004)
Une vulnérabilité 0-Day pour MacOS X (23 avril 2007)
Une nouvelle faille majeure pour Windows. (14 juil 2004)

Cartes blanches

Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.	Intégrer l'analyse de risques dans les projets Stéphane Aubert Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
>> Plus de Cartes Blanches

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres