【活用ガイド】

JVNDB-2003-000016

MIT Kerberos 5 の KDC におけるフォーマットストリングの脆弱性

概要

------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------

KDC Server である krb5kdc(1M) や kerberos を使用しているアプリケーションには、以下のような複数の問題が存在します。全ての問題は MIT Kerberos5 Release 1.2.5 以降で解消することが可能です。

1.NULL ポインタによる参照読み出しの問題 (CAN-2003-0058)
MIT Kerberos Key Distribution Center (KDC) には、NULL ポインタ参照読み出しによりクラッシュしてしまうという問題が存在します。この問題は、クライアント認証の一つである TGS-REQ 方式の過程で発生すると考えられています。TGS-REQ 方式は、kerberos 認証の初回のリクエストでは使用されません。

従って、リモートから任意のユーザがこの問題を利用した攻撃を行える可能性は低いと考えられています。

しかしながら、この問題により、ローカルの攻撃者 (realm 内のユーザ) は KDC Server である krb5kdc(1M) をクラッシュさせることにより、krb5kdc(1M) 及び kerberos を使用しているアプリケーションをサービス不能状態に陥らせることが可能です。

2.realm 認証の問題 (CAN-2003-0059)
MIT Kerberos 5 release 1.2.2 以前には、realm 認証 (realm authentication) の実装に不備が存在します。そのため、特定の状況下においてローカルの攻撃者 (realm 内のユーザ) は、他の realm と共有する鍵を使用して他の realm 内に存在するアカウントに偽装することが可能です。結果として、特定の realm 内のユーザは、他の realm へのアクセスが可能です。この問題に限り、バージョン 1.2.3 で既に解消されています。

尚、この問題は、攻撃者が偽装するアカウント名が重要な制御リスト (Critical ACL) 上に存在する場合に様々な手法を利用して実行される可能性があります。

また、この問題は Kerberos 5 をサポートする Microsoft 製品においても影響を受けることが報告されています。現時点では詳細は公開されていませんが、影響を受ける製品のパッチが公開予定です。

3.フォーマットストリングの問題 (CAN-2003-0060)
KDC の古いバージョンでは、ログ採取のルーチンにおいて '%n' のような printf() 系列の出力関数で書式指定子が利用されており、このような関数には、フォーマットストリングの問題が存在します。この問題を利用することで、リモートの攻撃者は krb5kdc(1M) のクラッシュを引き起こし、結果としてサービス不能状態に陥らせることが可能です。

尚、この問題を抱えるいくつかの関数は、認証処理以前で使用されているため、不特定多数のリモートユーザがこの問題を利用することが可能です。

また、このようなタイプの問題は、特定の状況下において、任意のコードを実行できる可能性もあるため、攻撃者は KDC で管理されるシステムへのアクセスできる可能性も考えられます。

4.ASN.1 decoder データサイズ上の境界チェックの問題 (CAN-2002-0036)
MIT Kerberos 5 に含まれている Abstract Syntax Notation One (ASN.1) decoder には、データサイズの境界チェックが適切に行われていません。そのため、記憶領域の割り当てが消極的に行われているような特定のシステムでは、データを受け取ることで krb5kdc(1M) 及び kerberos を使用しているアプリケーションがクラッシュしてしまいます。

結果として、リモートの攻撃者は意図的に作成されたパケットを送信することで、krb5kdc(1M) 及び kerberos を使用しているアプリケーションをサービス不能状態に陥らせることが可能です。

現時点では詳細は公開されていませんが、これらの問題により、多くのベンダから提供されている kerberos を使用している製品が影響を受ける可能性があると報告されています。

ただし、Solaris 9 x86 版及び Red Hat Linux 8.0、さらには SEAM 1.0 がインストールされていない Solaris 2.6 及び 7 では、これら全ての問題の影響は受けません。

また、Sun Microsystems より公開されているパッチ適用により、1. の問題 (NULL ポインタによる参照読み出しの問題: CAN-2003-0058) を解消することが可能です。その他の問題が解消されるかどうかは、現時点では未詳です。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


サン・マイクロシステムズ
  • Sun Solaris 2.6 (sparc) 
  • Sun Solaris 2.6 (x86) 
  • Sun Solaris 7.0 (sparc) 
  • Sun Solaris 7.0 (x86) 
  • Sun Solaris 8 (sparc) 
  • Sun Solaris 8 (x86) 
  • Sun Solaris 9 (sparc) 
レッドハット
  • Red Hat Linux 6.2  
  • Red Hat Linux 7.0  
  • Red Hat Linux 7.1  
  • Red Hat Linux 7.2  
  • Red Hat Linux 7.3  

想定される影響

本脆弱性に伴う影響については、「概要」をご参照ください。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

サン・マイクロシステムズ
  • Sun Alert Notification : 50142
  • Sun Alert Notification 日本語版 : 50142
レッドハット
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2003-0060
参考情報

  1. National Vulnerability Database (NVD) : CVE-2003-0060
  2. US-CERT Vulnerability Note : VU#787523
  3. US-CERT Vulnerability Note : VU#684563
  4. US-CERT Vulnerability Note : VU#587579
  5. US-CERT Vulnerability Note : VU#661243
  6. SecurityFocus : 6714
  7. SecurityFocus : 6713
  8. SecurityFocus : 6712
  9. SecurityFocus : 6683
更新履歴

  • [2007年04月01日]
      掲載

公表日2003/01/23
登録日2007/04/01
最終更新日2007/04/01