News-Meldung vom 09.08.2006 11:10
Das Massachusetts Institute of Technology hat auf mehrere Schwachstellen in seiner Kerberos-Implementierung hingewiesen, über die nicht-privilegierte Anwender auf einem System an höhere Rechte gelangen können. Laut Fehlerbericht sind in der Kerberos-5-Quellcode-Distribution mehrere Anwendungen enthalten, die Aufrufe von setuid() und seteuid() nicht immer richtig prüfen. Darüber könne ein Angreifer dann etwa an Root-Rechte gelangen.
Allerdings hänge das konkrete Risiko vom jeweiligen Betriebssystem ab. So seien etwa unter Linux und AIX nur die ungeprüften Aufrufe von setuid() ein Problem. AIX ist ohnehin nur dann betroffen, wenn statt der IBM-Implementierung von Kerberos die des MIT verwendet wird. Die Fehler stecken in allen Versionen bis einschließlich 1.5 sowie 1.4.x. In rb5-1.5.1 und krb5-1.4.4 sind die Fehler behoben.
Siehe dazu auch:
(dab)
English Version: MIT patches Kerberos
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-150242
Themen-Forum Schwachstellen
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
