English

◀◁ 뒤로 취약점ID 13012 위험도 40 포트 750 프로토콜 UDP 분류 Protocol 상세설명 해당 시스템에는 Kerberos 4 프로토콜이 작동되고 있다. Kerberos 4 프로토콜에는 많은 암호체계 상의 취약점들이 보고되어 왔다. 이 취약점들은 디자인상의 결함으로 프로토콜의 모든 구현들에 영향을 미친다. 가장 심각한 것은 공격자가 한 Kerberos 영역 내에 있는 어떤 주체(principal)로 위장할 수 있게 해 준다. 이것은 Kerberos 도메인 컨트롤러(Domain Controller)와 인증을 위해 그 도메인 컨트롤러에만 의존하는 호스트들을 완전히 장악할 수 있게 해 주는 결과를 초래할 수 있다. 또 다른 취약점은 triple-DES 키들이 Kerberos 4 서비스들에 대한 키로 사용된다면 인가되지 않은 클라이언트 주체(principal)들에 대해 Kerberos 4 ticket들의 위조를 허용할 수 있다. * 참고 사이트: http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-004-krb4.txt http://marc.theaimsgroup.com/?l=bugtraq&m=104791775804776&w=2 http://www.debian.org/security/2003/dsa-266 http://www.debian.org/security/2003/dsa-269 http://www.debian.org/security/2003/dsa-273 http://www.redhat.com/support/errata/RHSA-2003-051.html http://www.redhat.com/support/errata/RHSA-2003-052.html http://www.redhat.com/support/errata/RHSA-2003-091.html http://www.kb.cert.org/vuls/id/623217 http://www.kb.cert.org/vuls/id/442569 * 영향을 받는 소프트웨어: - Cross-realm(영역교차) 인증을 허용하는 Kerberos 버전 4 Key Distribution Center의 모든 구현 - Kerberos 버전 4 프로토콜을 위한 KDC를 구현하고 버전 4와 버전 5에 대해 같은 키들을 사용하는 Kerberos 버전 5 Key Distribution Center의 모든 구현 - Kerberos 버전 4에 있는 triple-DES 키들을 지원하는 Kerberos 버전 5의 MIT 구현들 해결책 Kerberos 5 프로토콜을 사용하여야 한다. 만약 Kerberos 4에 역호환을 지원하는 Kerberos 5를 가동 중이라면 버전 1.3으로 업그레이드 하여야 한다. 자세한 내용은 MIT krb5 보안 권고안 2003-004를 보면된다: http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-004-krb4.txt 벤더로부터 패치를 구하기 위해서는 다음 CERT 취약점 노트 VU#623217에 있는 "III. Solution"을 보면된다: http://www.kb.cert.org/vuls/id/623217 관련 URL CVE-2003-0138,CVE-2003-0139 (CVE) 관련 URL 7113 (SecurityFocus) 관련 URL (ISS)