[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- Listas... El ultimo Boletin se encuenytra disponible atraves de las paginas del UNAM-CERT. Desde el pasado viernes por la noche se encontraba disponible, pero debido a una controversia con algunos sistemas Operativos Afectados se decidio entre los otros IRT'S no salir hasta que los cambios y modificaciones fueran oficiales de parte de los proveedores y fabricantes. Hoy dichoas respuestas y cambios fueron confirmados y se informa a la comunidad que el analisis ya ha sido corroborado por todas las entidadses relacionadas con dicho problema. La liga que describe el problema de dicho boletin se encuentra disponible en : http://www.unam-cert.unam.mx http://www.seguridad.unam.mx Cordiales Saludos - -- UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx - ------------------------------------------------------------------------------- Boletín de Seguridad/UNAM-CERT UNAM-CERT Departamento de Seguridad en Cómputo DGSCA- UNAM Boletín de Seguridad UNAM-CERT 2002-029 Buffer Overflow en el Demonio de Administración de Kerberos El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín en el cual informan de que múltiples distribuciones de Kerberos contienen un buffer overflow remotamente explotable en el demonio de administración de Kerberos. Un intruso remoto podría explotar esta vulnerabilidad para obtener privilegios de Administrador Local en un sistema vulnerable. El CERT/UNAM-CERT han recibido reportes que indican que esta vulnerabilidad esta siendo explotada. Además, el boletín de MIT MITKRB5-SA-2002-002 hace notar la circulación de un exploit para esta vulnerabilidad. Se recomienda fuertemente a los sitios que utilizan distribuciones de Kerberos vulnerables verifiquen la integridad de sus sistemas y apliquen los parches o actualizar la versión de Kerberos. Fecha de Liberación: 25 de Octubre de 2002 Ultima Revisión: 26 de Octubre de 2002 Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS ? MIT Kerberos versión 4 y versión 5, incluyendo krb5-1.2.6 ? KTH eBones anterior a la versión 1.2.1 y KTH Heimdal anterior a la versión 0.5.1 ? Otras implementaciones de Kerberos derivadas del código vulnerable MIT o KTH DESCRIPCIÓN Kerberos es un protocolo de red ampliamente utilizado que emplea criptografía robusta para autenticar clientes y servidores. El demonio de administración de Kerberos (llamado típicamente kadmind) maneja el cambio de password y otros requerimientos para modificar la base de datos de Kerberos. El demonio se ejecuta en el servidor KDC (Key Distribution Center) maestro de un Kerberos realm. El código que proporciona soporte legal para el protocolo de administración de Kerberos 4 contiene un buffer overflow remotamente explotable. El código vulnerable no valida adecuadamente los datos leídos desde un requerimiento de red. Estos datos posteriormente son utilizados como un argumento para la llamada memcpy (), la cual puede causar un overflow en un buffer localizado en la pila. Un intruso no tiene que autenticarse para explotar esta vulnerabilidad, y el demonio de administración de Kerberos se ejecuta con privilegios de Administrador Local. Tanto el Kerberos del MIT (Massachusetts Institute of Technology ) como el del KTH (Kungl Tekniska Högskolan) fueron afectados, así como los sistemas operativos, aplicaciones, y otras implementaciones de Kerberos que utilizan el código vulnerable derivado de distribuciones del MIT o del KTH. En el Kerberos 5 del MIT, el demonio de administración del Kerberos 4 es implementado en kadmind4. En el Kerberos 4 del KTH (eBones), el demonio de administración de Kerberos es implementado en kadmind. El Kerberos 5 de KTH (Heimdal) también implementa el demonio en kadmind; sin embargo, el demonio Heimdal sólo es afectado si se compila con soporte para Kerberos 4. Debido a que el demonio de administración vulnerable de Kerberos esta incluido en las distribuciones de Kerberos 5 del MIT y del Heimdal del KTH, los sitios del Kerberos 4 y del Kerberos 5 que habilitan el soporte para el protocolo de administración de Kerberos 4 son afectados. Para mayor información sobre esta vulnerabilidad consulte la Nota de Vulnerabilidad del CERT en VU#875073. El MIT ha liberado un boletín que contiene información sobre esta vulnerabilidad: http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2002-002- kadm4.txt Los sitios Web eBones y Heimdal del KTH también contienen información sobre esta vulnerabilidad: KTH eBones http://www.pdc.kth.se/kth-krb/ KTH Heimdal http://www.pdc.kth.se/kth-krb/ En adición a la resolución de la vulnerabilidad descrita en VU#875073, la versión 0.51 de Heimdal de KTH contiene otras soluciones relacionadas al KDC. Consulte ChangeLocg para mayor información: ftp://ftp.pdc.kth.se/pub/heimdal/src/heimdal-0.5-0.5.1.diff.gz Esta vulnerabilidad se le ha asignado el identificador CAN-2002-1235 por el grupo CVE (Common Vulnerabilities and Exposures). IMPACTO Un intruso remoto no autenticado podría ejecutar código arbitrario con privilegios de Administrador Local. Si un intruso es capaz de obtener el control de un KDC maestro, la integridad completa del Kerberos realm es comprometida, incluyendo los identificadores de usuario y servidores, además de otros sistemas que aceptan autenticación mediante Kerberos. SOLUCIONES Aplicar un Parche o Actualizar Se debe aplicar el parche correspondiente o una actualización especificada por el distribuidor. Consulte el Apéndice A y la sección de sistemas afectados en la Nota de Vulnerabilidad VU#875073 para obtener una mayor información. Deshabilitar el Servicio Vulnerable Se debe Deshabilitar el soporte para el protocolo de administración de Kerberos 4 si no es necesario. En el Kerberos 5 del MIT, esto se logra deshabilitando kadmind4. Para obtener información sobre como deshabilitar todo el soporte de Kerberos 4 en el Kerberos 5 del MIT al momento de su compilación, consulte: http://web.mit.edu/kerberos/www/krb5-1.2/krb5- 1.2.6/doc/install.html#SEC24 En el Heimdal del KTH, es necesario recompilar kadmind para deshabilitar el soporte para el protocolo de administración de Kerberos 4. Para mayor información sobre como deshabilitar todo el soporte para Kerberos 4 en el Heimdal de KTH al momento de su compilación, consulte: http://www.pdc.kth.se/heimdal/heimdal.html#Building%20and%20Inst alling Esta solución prevendrá a los clientes administrativos Kerberos 4 de acceder a la base de datos de Kerberos. Esto también prevendrá a los usuarios con clientes Kerberos 4 cambiar sus passwords. En general el CERT/UNAM-CERT recomienda deshabilitar cualquier servicio que no sea explícitamente requerido. Bloquear o Restringir el Acceso Se debe bloquear el acceso al servicio de administración de Kerberos desde redes no confiables como el Internet. Además, solo se deben permitir los accesos al servicio desde servidores administrativos confiables. De forma predeterminada, el demonio de administración de Kerberos escucha en los puertos 751/tcp y 751/udp, y el demonio de administración de Kerberos 5 escucha en los puertos 749/tcp y 749/udp. Puede ser necesario bloquear el acceso al servicio de administración de Kerberos 5 si el demonio también soporta el protocolo de administración de Kerberos 4. Esta solución temporal previene los requerimientos de conexiones administrativas y cambios de passwords desde un bloque de red. Se debe hacer notar que esta solución temporal no prevendrá la explotación, pero esto limitará las posibles fuentes de ataques. APÉNDICE A. Información de Distribuidores Este apéndice contiene información proporcionada por los distribuidores de éste boletín. Si un distribuidor en particular reporta nueva información al CERT/UNAM-CERT, esta sección será actualizada. Apple Computer, Inc. El Demonio de Administración de Kerberos fue incluido en Mac OS X 10.0, pero fue removido en Mac OS X 10.1 y versiones posteriores. Se recomienda a los sitios que utilizan distribuciones vulnerables de Kerberos verificar la integridad de sus sistemas y aplicar los parches o actualizar la versión de Kerberos. Conectiva Los paquetes de Kerberos 5 del MIT en Conectiva Linux 8 no contienen el demonio kadmind4 vulnerable, este demonio no utilizado de forma predeterminada y no es instalada como un servicio. Los paquetes de actualización serán colocados en el servidor ftp y estarán disponibles en unas cuantas horas en: ftp://atualizacoes.conectiva.com.br/8/ El paquete krb5-server-1.2.3-3U8_3cl.i386.rpm contiene un demonio kadmind4 actualizado. Un boletín será enviado a la lista de correo de seguridad en unas cuantas horas después de la actualización sea completada. Debian Consulte el Registro de Distribuidor de Debian en la Nota de Vulnerabilidad VU#875073. FreeBSD El FreeBSD basado en los demonios Kerberos 4 (kadmind) y Kerberos 5 (compatibilidad de k5admind v4) son vulnerables y han sido corregidos con fecha del 23 de Octubre de 2002. Además, los puertos heimdal y krb5 contienen la misma vulnerabilidad y han sido corregidos con fecha de 24 de Octubre de 2002. Un Boletín de Seguridad esta en progreso. IBM IBM no es vulnerable a la vulnerabilidad de buffer overflow en el demonio kadmind4. IBM proporciona funcionalidad de Kerberos derivada del MIT en el producto NAS (Network Authentication Service) en cual es liberado actualmente 1.3 y esta disponible el Paquete de Expansión AIX. El demonio kadmind4 no es parte del producto NAS. KTH Kerberos Los sitios Web eBones y Heimdal tienen información sobre esta vulnerabilidad: KTH eBones http://www.pdc.kth.se/kth-krb/ KTH Heimdal http://www.pdc.kth.se/kth-krb/ ftp://ftp.pdc.kth.se/pub/heimdal/src/heimdal- 0.4e.kadmind-patch Microsoft Corporation La implementación de Kerberos de Microsoft no es afectada por esta vulnerabilidad. MIT Kerberos El MIT ha liberado el Boletín de Seguridad 2002-002 sobre krb5 del MIT que incluye un parche y una descripci&aocute;n de una firma de ataque: http://web.mit.edu/kerberos/www/advisories/MITKR B5-SA-2002-002-kadm4.txt http://web.mit.edu/kerberos/www/advisories/2002- 002-kadm4_patch.txt http://web.mit.edu/kerberos/www/advisories/2002- 002-kadm4_attacksig.txt NetBSD NetBSD ha liberado NetBSD-SA2002-026: ftp://ftp.NetBSD.org/pub/NetBSD/security/advisories /NetBSD-SA2002-026.txt.asc OpenBSD OpenBSD ha liberado Security Fix 016 para OpenBSD y Security Fix 033 para OpenBSD 3.0. OpenBSD 3.1 http://www.openbsd.org/errata31.html#kadmin OpenBSD 3.0 http://www.openbsd.org/errata30.html#kadmin Openwall Openwall GNU/*/Linux no es vulnerable. No proporciona Kerberos. Red Hat, Inc. Las liberaciones de Red Hat Linux versión 6.2 y superiores incluyen versiones de Kerberos del MIT que son vulnerables a este problema; sin embargo el servidor de administración vulnerable, kadmind4, nunca ha sido habilitado de forma predeterminada. Se esta trabajando actualmente en producir paquetes de errata. Cuando estas actualizaciones estén completas estarán disponibles junto con un boletín en el URL mostrado a continuación. Al mismo tiempo los usuarios de Red Hat Network serán capaces de actualizar sus sistemas utilizando la herramienta 'Up2date'. http://rhn.redhat.com/errata/RHSA-2002-242.html SuSE SuSE Linux 7.2 y superiores están incluidas en Heimdal de Kerberos, pero el soporte para Kerberos 4 esta deshabilitado en todas las direcciones. De esta forma, SuSE Linux y SuSE Enterprise Linux no son afectados por este problema. Wind River Systems (BSDI) Ninguna Versión de BSD/OS es vulnerable a este problema. APÉNDICE B. Referencias ? http://web.mit.edu/kerberos/www/ ? http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2002-002- kadm4.txt ? http://web.mit.edu/kerberos/www/krb5-1.2/krb5-1.2.6/doc/install.html#SEC24 ? http://www.pdc.kth.se/kth-krb/ ? http://www.pdc.kth.se/heimdal/ ? http://www.pdc.kth.se/heimdal/heimdal.html#Building%20and%20Installing ? ftp://ftp.pdc.kth.se/pub/heimdal/src/heimdal-0.4e.kadmind-patch INFORMACIÓN Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.cert.org/advisories/CA-2002-029.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBPb48+nAvLUtwgRsVAQELmAf+OB7+Rk6dJUS3Q4RnUGayr+QpbDemQbAT RMmTmo4j1c0ETTRfpe58Y7qGLFsOzwbDhX0coPSokKRZk1bKuumTK9ZMd2Ge7Itb j567IWcYHuba7OodypTaa6jS51JdYhgxG8tAVcpm3H4tuTynj7dzitky9qjLrPsH 5kKrGA/g3DSDV2qfSOp2/wjydO4esu5Hb+9rXs5ZGZsHliOSo1osaE83W/fKsLT3 kWZOul5nNznzBIzTWhcPnEkHMT82hj9YQyhAp14gViRcojMqXOjh2JFhRglRoZah AsbsyKT3plJEyEgy+vuK/wF7wFKj5WTZDQ+5/HHuMCjePzYtQtQm/w== =FV/5 -----END PGP SIGNATURE----- Lista de correo linux en opensource org mx Preguntas linux-owner en opensource org mx http://www.opensource.org.mx/