S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 août 2006
N° CERTA-2006-AVI-356-001
Affaire suivie par: CERT-FR
le 16 août 2006

Avis du CERT-FR

Objet: Plusieurs vulnérabilités dans MIT Kerberos krb5

Gestion du document

Référence CERTA-2006-AVI-356-001
Titre Plusieurs vulnérabilités dans MIT Kerberos krb5
Date de la première version 16 août 2006
Date de la dernière version 18 août 2006
Source(s) Bulletin de sécurité MITKRB5-SA-2006-001 du 08 août 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • élévation de privilèges.

Systèmes affectés

La version 1.5 et 1.4.3 ainsi que celles antérieures.

Description

Kerberos est un protocole d'authentification crée par le MIT. Il fonctionne sur le principe de tickets donnant différents droits d'accès (période de validité, services accordés, etc). L'implémentation la plus fréquente est la version 5 du MIT, nommée krb5.

Plusieurs vulnérabilités ont été identifiées dans ce dernier. Sous certaines conditions, différentes applications fournies avec krb5 (krshd, v4rcp, ftpd, ksu) ne contrôleraient pas de manière suffisamment rigoureuse les appels aux fonctions système setuid() et seteuid(). Ces dernières fixent les propriétés UIDs/GIDs (pour User/Group IDs) d'un processus. Un utilisateur malveillant local au système pourrait exploiter ces vulnérabilités pour élever ses privilèges à ceux d'administrateur (root) et exécuter des commandes arbitraires sur le système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 16 août 2006
    version initiale.
    le 18 août 2006
    ajout des bulletins de sécurité Ubuntu, Debian, Fedora, RedHat et Mandriva.