Veelgebruikt Kerberos blijkt kwetsbaar

Nadat eerder deze maand bekend was geworden dat de veelgebruikte compressieblibliotheek Zlib kwetsbaar was voor een buffer-overflowaanval, blijkt dat nu ook een ander populair programma scheuren vertoont; Kerberos, een open source beveiligd netwerkprotocol, is gevoelig gebleken voor een buffer-overflowaanval en een hack die bekend staat als een 'double-free'-aanval. Het netwerkprotocol wordt toegepast in veel besturingsystemen, die vrijwel allemaal risico lopen via deze weg aangevallen te worden. Het Windows XP-besturingsysteem daarentegen is niet kwetsbaar voor een van de twee hacks. Dit komt omdat de programmeurs een eigen aangepaste en doorontwikkelde versie van Kerberos gebruiken, waarin deze beveiligingslekken niet bestonden.

Voor de andere besturingsystemen beginnen de patches al binnen te komen. De Linux-varianten voor onder andere Gentoo, Red Hat en Turbolinux kunnen al gepatcht worden en MIT heeft zelf ook al twee diff-patches voor de broncode uitgegeven om het buffer-overflowlek en double-freelek te dichten. Beveiligingsexpert Brian Grayek bestempelt de lekken als zeer gevaarlijk, maar voegt daar direct aan toe dat het veel kennis van de software vraagt om een goede exploit te schrijven voor een van de twee fouten. De twee beveiligingsproblemen van Kerberos zijn de eerste die als 'kritiek' worden bestempeld sinds augustus 2004. Toen bleek het programma eveneens kwetsbaar te zijn voor een buffer-overflowaanval.

Reacties (52)

Verwijderd 16 juli 2005 11:25

Nou, als Windows onveilig was geweest, hadden veel tweakers hysterisch hier gereageerd dat microsoft slecht is en openscource beter, nu wordt er gezegd "bugs zullen er altijd wel blijven" en "soms vraag ik me af in hoeverre deze exploits daadwerkelijk gevaarlijk zijn". Natuurlijk ze hebben gelijk. Maar deze reacties zie je niet als er bijvoorbeeld een bug in IExplorer is gevonden... Zie http://www.tweakers.net/nieuws/14552

Verwijderd @Verwijderd • 16 juli 2005 11:44

Aan de ene kant heb je 100% gelijk aan de andere kant staat een product als internet explorer op de computers van 100en onwetende gebruikers, waardoor veel van die computers binnen no-time als zombie-pc's gaan functioneren door een lek in IE. Kerberos daarentegen maakt vaak deel van layered security model en wordt dan ook ondersteund door mensen met wat meer verstand van computers wat ook twee dingen zijn die het gevaar aardig wat inperken.

WinL @Verwijderd • 16 juli 2005 12:02

Grote onzin, het is een extreem gevaarlijke exploit! Probeer het nu niet goed te praten. Beter IE (een IE bug kan ook gevaarlijk zijn) omhoop dan ALLE Linux netwerken en.... Zeg dan: het zijn beide exploits... Maar ga nu niet Linux en opensource de lucht in prijzen van 'ach ja, het kan iedereen gebeuren, alleen slimme mensen gebruiken het'. Als ik als een onwetend figuur op een werkplek zit (btw ik ben nog student) en ik hang mijn laptop aan een AD, dan heb je als noop (ik als tweaker) toch te maken met die vervelende bug...
Kom nou, hier kan ik niet tegen... Zometeen gaan de opensource fanaten ook nog fuiven, immers 'het maakt toch maar deel uit een van layered model'. En IE en de TCPIP stack zijn zeker niet layered?

Pfff

Of het nu IE-flaw is, Kerberos of Redhat:
ik zeg 'iedereen kan fouten maken-- sommige kunnen echter beter voorkomen worden door correct programmeren'

WinL @WinL • 16 juli 2005 13:03

Als je zo uitlegd kan ik me meer vinden in jouw uitleg (PS: WinXP SP2 heeft ook firewall). Had het dan meteen zo uitgelegd

Wel is het gevaarlijk als ik met mijn laptop 'inlog' op een AD (OSS)... dan zit de firewall niet meer tussen... maar dan moet je allicht wel in het gebouw zijn

Verwijderd @WinL • 16 juli 2005 12:33

Ik bedoelde meer dat je bij (bedrijfs)netwerken (linux of windows) nog goede firewall tussen je netwerk en internet heb staan. Mischien nog een goed accessrights policy in werking hebt. Maar dat een groot gedeelte van de ie gebruikers (de thuisgebruikers met IE/etc.) die beveiligingen niet hebben.
De exploits op zich zelf zijn natuurlijk even ernstig anders zouden ze ook niet als 'zeer gevaarlijk' worden bestempeld.
De omgeving waarin software gebruikt wordt heeft echter ook invloed op de veiligheid van je computer/netwerk. Je kan software vol bugs hebben en je netwerk niet aan het internet koppelen en stukken veiliger zijn dan als superveilige software en internet op elke werkplek.

Met layered security bedoel ik dan dat je meerdere lagen actieve beveiliging (firewall/ passwords / MAC) hebt totdat iemand bij je data/etc. komt en niet allerlei laagjes functionaliteit (tcp/ip / filesystem / etc.)

cuylfrits @WinL • 16 juli 2005 13:33

Windows XP zelf had ook al een firewall. Probleem is echter dat het niet bijster veel voorstelt. Je kan de firewall via wat eenvoudige VBscript instellen door wat poorten te openen (Beheerstechnisch is dat uiteraard wat makkelijke

).

Microsoft heeft bij de scripting site hier heel wat mooie voorbeeldjes van staan.

http://www.microsoft.com/technet/scriptcenter/scripts/network/firewall /default.mspx

De eerste de beste scriptkiddie kan dus zo met behulp van Microsoft een paar poorten open zetten en dan het echte gevaarlijke meuk naar binnen laten.

Parasietje @WinL • 18 juli 2005 19:23

ALLE linux netwerken?

Als er een bug in IE zit, is elke windows computer vatbaar. Kerberos is een authentication daemon die niet op elke linux computer draait. Als de daemon op je server draait, dan hou je die server ook in de gaten. De bugfix is enkele dagen na het bekendkomen van de bug gereleased. Kwetsbare servers zijn nu al gepatched.

Het is een groot verschil:
-> Enkele goedbeheerde servers waar Kerberos snel gepatched kan worden.
-> Miljoenen windows computers met IE die langzaam gepatched worden (schuld van gebruikers)

Ik heb zo'n gevoel dat deze bug dan ook weinig zal ge-exploit worden. Mensen die Kerberos draaien, zijn bezorgd om veiligheid; die patchen hun systemen tijdig!

Remenic @Verwijderd • 16 juli 2005 11:31

En dat vind jij niet logisch?

edit:
Open Source is "van ons" en alle Microsoft producten zijn "van Microsoft". Net zoals Microsoft haar eigen bugs niet zal gaan afzeiken, doen "wij" dat ook niet met onze bugs.

Jeroen V @Remenic • 16 juli 2005 12:06

@Remenic: Misschien heb je wel gelijk, alleen vind ik dat "van ons" bij de meeste mensen niet op zijn plaats. Het gros weet altijd prima het vingertje naar bedrijven als Microsoft te wijzen, maar als het op open source aankomt dan wijst dat vingertje eigenlijk alleen maar naar het download linkje.

Echt moeite en tijd erin steken doen de meeste niet, dus dat "van ons" gaat naar mijn mening alleen op voor de mensen die er wel tijd, moeite en middelen in steken.

Reden dat MS altijd afgezeken wordt is puur en alleen door de omvang en het feit dat het een zeer succesvol bedrijf is. Kijk maar naar Google, twee jaar geleden hoorde je er geen kwaad woord over, maar je hoort eigenlijk steeds meer negatieve uitlatingen over Google.

Eigenlijk vind ik de titel niet kloppen, het is niet Kerberos wat een fout bevat, maar een specifieke implementatie ervan.

Verwijderd @Remenic • 16 juli 2005 12:48

Ik wordt ook liever aangereden door een Nederlander dan door een Duitser.

The - DDD @Verwijderd • 16 juli 2005 11:45

Da's het nadeel als je monopolist bent.

"Hoge bomen vangen het meeste wind."

Stel dat ehr... Apple? Ja, sel dat Apple de positie van Microsoft had gehad, dan zou Apple nu getrashed worden.

LinuxMan @Verwijderd • 16 juli 2005 12:17

Maar deze reacties zie je niet als er bijvoorbeeld een bug in IExplorer is gevonden...

heb je gelijk in, maar hoeveel miljoen IE gebruikers zijn er? Vast meer dan bijv. Linux gebruikers. En dan hebben we het hier over kerberos, ik denk dat misschien 1% van de Linux machines kerberos gebruikt. Misschien zelfs nog wel minder.

Dus wellicht moet je dit niet vergelijken met een bug in IE, maar met een bug in "DiskLogon Lite" voor windows (die hebben wellicht even veel gebruikers). En daar worden de tweakers niet echt hysterisch van denk ik.

durkagain 16 juli 2005 11:39

Ik heb even snel gekeken, maar het lijkt erop dat alléén de MIT-implementatie van Kerberos (5) vulnerable is. Dat betekent dus dat mensen die de Heimdal-implementatie van Kerberos gebruiken geen last hebben van deze kwestie. Als je het zo bekijkt is het ook niet zo gek dat de Microsoft-implementatie hier geen last van heeft, tenzij ze veel code hebben overgenomen van MIT.

kidde @durkagain • 16 juli 2005 14:31

Shit, heb jij nou net even pech, toevallig zat deze maand ook in de Heimdahl-implementatie een remote-bug die door Gentoo als 'High' werd gerate

http://www.gentoo.org/security/en/glsa/glsa-200506-24.xml
(Das gewoon toeval hoor)

Verwijderd @kidde • 18 juli 2005 16:38

Dat was/is een lek in Kerberized telnet/telnetd die met Heimdal meegelevert worden, niet de KDC (key distribution center). Meestal wordt gewoon SSH ipv telnet gebruikt ...

Een lek in je KDC (zoals hier) is veel erger, omdat dan de sleutels van _al_ je principals mogelijkerwijs op straat liggen.

Behalve dat draait een MIT of Heimdal KDC met root rechten, dus die machine is dan zelf ook (al) niet meer te vertrowen. Shishi kan wel onder een luser account draaien, maar is nu nog alpha fase: http://josefsson.org/shishi/

n4m3l355 16 juli 2005 11:05

Soms vraag ik me af in hoeverre deze exploits daadwerkelijk gevaarlijk zijn. het is niet alsof een script kiddie dit kan misbruiken aangezien ze veelste complex zijn om het te begrijpen.
Tevens vraag ik me af hoe deze eigenlijk bekend worden. Is er een exploit gebruikt en gaat men dan onderzoeken hoe het gebeurd is of zijn er mensen daadwerkelijk constant bezig met het vinden van specifieke fouten in software/protocollen?
Btw wel ff weer een plusje voor de OS communitie, exploit is bekend men lost het op, MS moet nog steeds wat doen aan de augustus exploit...

Smoke @n4m3l355 • 16 juli 2005 11:12

Kans is wel dat iemand met die kennis een goeie exploit schrijft en dat die uitgebracht wordt in een tooltje gericht op scriptkiddies.

Je hoeft het niet te begrijpen om het te gebruiken.

GambitRS @Smoke • 16 juli 2005 11:54

Ik zie eerder iemand een proof of concept schrijven, met de beste bedoelingen om aan te tonen dat er inderdaad een fout zit in de code. Zo'n proof of concept wordt dan weer verkracht door iemand die het leuk vind om hacktools te schrijven. Die hacktools worden vervolgens weer gebruikt door de scriptkiddies.

Dus nu weet je het, schrijf gewoon geen proof of concepts

Chatslet @GambitRS • 17 juli 2005 15:39

Conclusie: Deze exploit is dus wel degelijk gevaarlijk.

dotnetpower @n4m3l355 • 16 juli 2005 14:10

Windows XP-besturingsysteem daarentegen is niet kwetsbaar voor een van de twee hacks. Dit komt omdat de programmeurs een eigen aangepaste en doorontwikkelde versie van Kerberos gebruiken, waarin deze beveiligingslekken niet bestonden.

Microsoft had hem dus al opgelost voordat ie bekend was, dus was eerder, mag ook wel een pluspuntje genoemd worden

Verwijderd @dotnetpower • 16 juli 2005 15:54

En een minpuntje dat ze de oplossing niet teruggegeven hebben aan de het Kerberos-project.

Verwijderd @Verwijderd • 16 juli 2005 16:15

Ik vermoed dat M'soft niet wist dat er lekken in zaten en dat ze "per ongeluk" gepatched zijn bij de ontwikkeling van XP. De Kerberos in XP is al uit 2000 of zoiets en dit lek is pas een paar dagen/weken bekend

*Silversurfer moet beter lezen, d'r was maar één lek gedicht en niet beide

Blokker_1999

@n4m3l355 • 16 juli 2005 12:08

Er zijn bedrijven die niets anders doen dan bugs zoeken in software en deze dan rapporteren.

MaZo @n4m3l355 • 16 juli 2005 13:29

Soms vraag ik me af in hoeverre deze exploits daadwerkelijk gevaarlijk zijn. het is niet alsof een script kiddie dit kan misbruiken aangezien ze veelste complex zijn om het te begrijpen.

Het gevaar komt voornamelijk juist van de scriptkiddies die een gecompilede versie van de exploit downloaden op niet nader te noemen websites, en daar eens lekker mee gaan experimenteren. Het gevolg is bijvoorbeeld dat jouw computer(s) of server(s) als pubstro kunnen gaan dienen.

Verwijderd 16 juli 2005 11:05

Bugs zullen er altijd wel blijven.

Wacht maar dadelijk gaan Closed source organisaties hun vinger wijzen naar Linux en andere projecten, "Niet veilig!". Maar goed niet alles is veilig, en er zullen altijd wel weer manieren te vinden zijn om het verzieken.

Verwijderd @Verwijderd • 16 juli 2005 11:12

eerhm de eerste patches zijn nu al weer binnen
dat zie ik microsoft nog niet zo snel doen

ook is het zo dat scriptkiddies hier niks mee kunnen
alleen pro hackers

grimson @Verwijderd • 16 juli 2005 11:30

eerhm de eerste patches zijn nu al weer binnen
dat zie ik microsoft nog niet zo snel doen

Sorry hoor maar waar slaat dit nu weer op?

Dacht je nou echt dat Microsoft een patch meteen de deur uit zal doen zonder hem eerst uitgebreid te testen?
Zeker bij dit gevoelige onderwerp .. straks kunnen miljoenen mensen niet aanmelden op hun domein omdat Microsoft zo snel mogelijk een patch moet uitbrengen omdat ze anders het beeld vormen volgens sommige lieden dat ze er laks mee omgaan.

Schijnbaar maakt het snel uitbrengen van een patch voor sommige personen het OS veiliger...

Mijn voorkeur gaat nog altijd uit naar eerst zorgvuldig testen en dan pas uitbrengen.

SED @grimson • 17 juli 2005 11:59

dit is volstrekte onzin. Er zijn geen simpele patches die alleen dat deel patchen dat je voor ogen had. Juist op een breed ingezet platform als Windows met duizenden verschillende drivers en hard en software samenstellingen kunnen gevolgen erg groot zijn.
Goed testen is dus essentieel om een patch uit te brengen.
Kritieke patches zijn altijd direct beschikbaar en dat is al meer dan een jaar of twee zo. Ook hier weer FUD.
Het overheidsverhaal moeten we daar ook onder scharen.
Veel FUD weinig wol... jammer. Discussier nu eens over het topic ip over MS elke keer weer.

MS heeft dus tijdens de doorontwikkeling zelf aanpassingen gedaan die terecht bleken. Dat is dus netjes gedaan.

Blokker_1999

@grimson • 16 juli 2005 12:12

Nee, maar wat MS doet is ook niet veilig te noemen. Slechts 1 maal per maand de patches vrijgeven toont van weinig interesse in de veiligheid voor de klant. Zeker nu MS vanaf september de patches nog langer gaat achterhouden aangezien de Amerikaanse regering ze eerst gaat krijgen om zijn systemen up to date te brengen.

Een eenvoudige patch dient trouwens niet lang getest te worden. Het hangt er gewoon van af aan welk deel men werkt en wat men aanpast.

De snelheid waarmee een patch word uitgebracht is wel degelijk belangrijk. Als je merkt dat sommige kritieke IE bugs maanden op een patch moeten wachten en andere er nooit eentje krijgen dan kan je je ook daar vragen bij stellen.

Smoke @grimson • 16 juli 2005 14:14

@Blokker_1999: Kritieke patches worden nog altijd direct uitgegeven zodra ze gemaakt en getest zijn, alle niet-kritieke patches en updates voor drivers en het OS worden gewoon op de normale updatedag uitgegeven(Die trouwens is ingesteld omdat het makkelijker voor de klanten is om ze te leren 1x per maand bij Windows Update te laten kijken)

En dat van het leger is gewoon dat het leger niet op de maandelijkse update-dag hoeft te wachten en de updates gelijk krijgt, maar de gewone consument wel. Wat dus betekent dat het leger dezelfde update op zijn hoogst 30 of 29 dagen eerder heeft dan de rest.

En de reden dat het zo lang duurt? Er zijn gigantisch veel verschillende configuraties(Niet alleen qua hardware, maar ook qua eerder geinstalleerde patches en service packs) mogelijk, en om dat allemaal te testen kan vrij lang duren. Waarbij ook aanpassingen gedaan moeten worden als er toch een nieuwe fout wordt gevonden.

Hennie-M

@Verwijderd • 16 juli 2005 11:21

Ja Daar heb je wat aan, snelle fixes.
maar je wilt niet weten hoeveel mensen linux draaien op een server 'omdat het zoveel veiliger is'.

Maar niet weten hoe ze moeten patchen.
Een systeem is net zo veilig als dat de beheerder goed is.

yootje @Hennie-M • 16 juli 2005 11:22

Juist. Maar daar kan de software toch weinig aan doen?

Chatslet @Hennie-M • 17 juli 2005 15:41

Software kan daar juist heel erg veel aan doen. Denk maar eens aan de vele wizzards die je in windows systemen tegen komt.

SuperDre @Verwijderd • 16 juli 2005 12:20

Tja, maar het zijn de OSS lui die altijd de vinger zitten te wijzen naar CSS en nu blijkt weer eens voor de zoveelste keer dat OSS net zo onveilig is als bv Windows XP (misschien zelfs onveiliger omdat Windows (XP) veelal wordt gebruikt door de leek en die veel interessanter zijn om daar virussen voor te schrijven.. als bv linux echt net zo populair wordt als windows (en dan bedoel ik dus bij leken en niet bij iemand die er echt verstand van heeft) dan zul je gelijk wel zien dat er veel meer virussen zullen ontstaan..)

Blokker_1999

@SuperDre • 16 juli 2005 14:04

Een statement waar ik niet mee akkoord kan en wil gaan. Populariteit is niet de enige factor wanneer we spreken over veiligheidsrisico. Kijk bijvoorbeeld eens naar de markt van de webservers. Ongeveer 70% van het net word geserveerd met Apache en een dikke 20% met IIS. Toch zien we hier dat IIS meer aanvallen te verduren krijgt dan Apache hoewel het niet het populairste systeem is.

Verwijderd @SuperDre • 18 juli 2005 21:51

SuperDre schreef:

> Tja, maar het zijn de OSS lui die altijd de vinger
> zitten te wijzen naar CSS en nu blijkt weer eens
> voor de zoveelste keer dat OSS net zo onveilig is
> als bv Windows XP [ ... ]

Nu MS-XP is niet bepaalt een redelijke vergelijking met een (Unix) Kerberos server. W2K3 komt dan mischien een beetje in de richting, maar om dat als Kerberos KDC in te zetten lijkt me niet direct verstandig (tenzij er geen andere mogenlijkheid voorhanden is.) Daar behalve een KDC service ook LDAP, SNTP, DNS, ea op zo'n machine draaien (waarom zou je anders zo'n pakket aanschaffe?) - met LocalSystem rechten no wel - ... Van een leverancier die eens per maand security updates ter beschikking stelt (itt als er reden toe is) ... Aan zo'n bak de toegangs controle naar alle netwerk services toe vertouwen?

T-h-i-j-s @Verwijderd • 16 juli 2005 12:26

Maar goed niet alles is veilig

Een beter uitgangspunt, zeker als het om beveiligingszaken gaat is: niets is (absoluut) veilig.

Als je daar vanuit gaat en je inspant om het zo veilig mogelijk te maken als nodig en haalbaar is en dat blijft doen in plaats van achterover te leunen, ben je op het goede pad.

Verwijderd @T-h-i-j-s • 16 juli 2005 15:31

en dat zijn punten waar Open-Source zijn kracht uit haalt. Zo veilig mogelijk programeren maar als er dan een Bug word gevonden dan "ow het is niet meer veilig! help help!" maar als je kijkt wat voor Bugs Windows, IE, etc hebben dan mja dan kijk je toch anders er naar.

Mijn mening is altijd nog geweest dat Openheid in zaken een manier is naar veiligheid, mensen zien bugs reporten het of gaan zelf er een beetje mee rommelen en ja er zijn wel mensen bij "scriptkiddies, en rare figuren die de PC wereld niet waardig zijn" die het voor de gewonen man proberen te verzieken. Het is eigenlijk maar hoe het valt. En voor deze fout stonden geloof ik al meteen patches te wachten. Toen er een groot lek was in IE kon ik maar wachten ondertussen was het al te laat voor mij. Daar baalde ik wel van. Heb vaak gebruik gemaakt van Closed source software voor van alles "Netwerk, Compressie en backup" en vaak fouten en virussen gehad omdat het zo lek was als een mandje en je update je eigen suf. Nu dat ik over ben gegegaan naar Open source software is dit wel gedaald veel meer. Omdat het voor hackers minder intresant is om er een lek in te vinden omdat de meeste mensen de mentalieteid hebben van ow betaal maar "ow van microsoft dan is het wel goed" terwijl het vaak (niet altijd) dan juist fout gaat.

En je moet me niet zien als een Windows of Closed source haat persoon, want nee dat ben ik helemaal niet. Ik zeg alleen maar dat ze de manier van Opensource moeten volgen "Het duurt wat langer maar het wordt veiliger en sneller door, dus minder updated en dus minder server overlast en meer geld voor betere programeurs"

Bor Coördinator Frontpage Admins / FP Powermod 16 juli 2005 11:22

Hoe zit het met de kerberos implementatie in het nog heel veel gebruikte Windows 2000?

WinL @Bor • 16 juli 2005 11:55

Waarschijnlijk veilig...
WinXP berust op Win2000
Ik neem aan dat die doorontwikkelde versie ook al aanwezig is in 2000. Om deze reden is XP ook compitable met 2000 AD. Maar zeker weten doe ik het niet... anders lijkt het mij wel dat een doorontwikkelde versie eens een keer is meegekomen met een servicepakkie...
100% zeker ben ik niet...

Verwijderd 16 juli 2005 11:43

En dat terwijl de hele open source community al jaren de mogelijkheid heeft gehad om deze bug eruit te halen, so much voor dat argument dus.... Met een beetje pech is een exploit al lang geschreven en in gebruik.

SWAT @Verwijderd • 16 juli 2005 11:58

Sorry, maar ik snap die argumentatie niet. Een bug is niet 'zomaar' ineens bekend. Deze worden geleidelijk bekend, vaak na vele verschillende testen en/of het gebruik in de praktijk. In dit geval is het laatste van toepassing.

Het kan ook zijn, dat ik het mis heb, maar ik heb nergens zien staan dat deze bug 'al jaren' bekend is. Er staat enkel dat deze twee bugs de eersten sinds augustus 2004 die als kritiek bestempeld zijn.

Blokker_1999

@Verwijderd • 16 juli 2005 12:16

Hoe eenvoudig is het om een bug te ontdekken denk jij? Denk je dat iemand zomaar de broncode heeft door te nemen en onmiddelijk iets ziet wat hij kan uitbuiten? Nee, zo eenvoudig is het allemaal niet. Meeste bugs worden per toeval gevonden of via trial en error.

MS heeft ook al jaren de mogelijkheid om van IE een veilige browser te maken, toch doen zij dit ook niet. Elke script kiddie kan jouw IE doen crashen gelijk hel terwijl we hier spreken over exploits waar kennis van zaken voor nodig is. Volgens mij had jij zelfs voor deze newspost nog nooit van Kerberos gehoord en nu ga jij ineens beginnen inhakken opde OSS Comunity.

kidde @Verwijderd • 16 juli 2005 14:40

En dat terwijl de hele open source community al jaren de mogelijkheid heeft gehad om deze bug eruit te halen

...En kwaadwillenden hebben al minstens 5,5 jaar lang de tijd gehad om hem te exploiten, maar er is nog nooit een werkende exploit gevonden (versie ~1 van MIT kerberos 5 is ongeveer sinds feb 2000 in omloop meen ik).
Kortom, de bug was lastig te vinden en te exploiten. Hij is al gepatcht voordat de crackers zichzelf voor het hoofd slaan, van 'dat had IK de afgelopen 5 jaar moeten vinden!"

SED @kidde • 17 juli 2005 12:08

Ik heb al eerder aangegeven , maar werd meteen weggeedit, dat een niet nader genoemde kennis iedere Linux bak op root niveau binnen kon komen zonder enige probleem.
Dat kan hij al jaren op rij dus hoe je het ook wend of keert gaten zitten er. Als er dichtgetimmerd worden komen er weer nieuwe. Dat kan op Windows bakken vast ook, maar daar gaat het niet over. OS zou veiliger moeten zijn en ik heb daar zo mijn bedenkingen bij.
Alle code kennen is ook veel gemakkelijker om een gat te vinden. Niet iedereen is op zoek naar gaten maar wel naar codeoptimalisering. Dat laatste is wat de meeste OS projecten doen. Daardoor worden ze niet per definitie veiliger!

Het feit dat een bug nu pas gemeld is wil ook niet zeggen dat hij niet bekend was. Je mag er zelfs vanuit gaan dat er al lang een hacker een exploit heeft en die gebruikt voor eigen doeleinden.
Dat gedonder over witte hoedjes en alle andere kleurtjes kan nu ook wel achterwege blijven. Hackers breken in. (<punt is dat)

Verwijderd @SED • 18 juli 2005 22:34

SED schreef:

> OS zou veiliger moeten zijn en ik heb daar zo
> mijn bedenkingen bij.

Het is niet duidelijk in welke zin u dit stelt. Zeg ik heb een programmatje (of specificatie daarvoor) geschreven, zou ik dit nu inzetten dan valt het maar te bezien of ik met alle mogenlijke beveiligings problemen rekening gehouden heb (maar waarschijnlijk niet.) Als ik het nu voorleg aan derden, met verstand van zaken, kunnen zij _hun_ oogpunt aan mij terug koppelen ...

Punt is dus dat uw "niet nader genoemde kennis" zijn/haar bevindingen aan het projet, waar blijkbaar dankbaar gebruik van word gemaakt, terug kan doneren (gegeven dat het waar is.)

Een ander, maar gerelateerd punt, is dat ik zelf niet al te veel vertrouwen in een stukje software zou (willen) steken als het niet is van: inderdaad zonder die sleutel (of dat wachtwoord, of wat dan ook) zie ik geen mogenlijkheid hier langs te komen ...

daft_dutch 17 juli 2005 22:01

heet die 3 koppige hond niet cerberus?
5k tegen 130k geeft google image search me gelijk

Verwijderd @daft_dutch • 18 juli 2005 08:48

laat cerberus nou de latijnse naam voor dat beest zijn en kerberos de griekse...

jkf 16 juli 2005 12:29

Aangezien in XP 1 van de 2 kwetsbaarheden wel aanwezig is, is er geen reden om aan te nemen dat dat op win2k niet zo zou zijn.

edit: Dit was een reactie op
Gepost door Bor de Wollef - zaterdag 16 juli 2005 - 11:22
en

Gepost door WinL - zaterdag 16 juli 2005 - 11:55

_JGC_ 17 juli 2005 11:55

Dit betreft dus alleen de MIT kerberos implementatie. De veel meer gebruikte Heimdal implementatie heeft hier AFAIK geen last van (heb nog geen debian security of OpenBSD errata gezien daarover). Het grote voordeel van Heimdal was destijds dat het in zweden ontwikkeld werd, waarbij er geen exportrestricties op encryptie vanuit de USA op van toepassing waren, wat bij MIT wel het geval was.

cavey 18 juli 2005 11:10

Kerberos, een open source beveiligd netwerkprotocol, is gevoelig gebleken voor een buffer-overflowaanval en een hack die bekend staat als een 'double-free'-aanval. Het netwerkprotocol wordt toegepast in veel besturingsystemen, die vrijwel allemaal risico lopen via deze weg aangevallen te worden.

Sorry hoor, maar is de implementatie lek, of is het protocol lek?

Onno @cavey • 18 juli 2005 11:20

Een van de implementaties. Wat er in dit bericht staat klopt dus gewoon niet; met het protocol heeft het niets te maken.

Op dit item kan niet meer gereageerd worden.

Veelgebruikt Kerberos blijkt kwetsbaar

Lees meer

Reacties (52)

Sorteer op:

Weergave: