安全研究
安全漏洞
MIT Kerberos 5管理库libkadm5srv远程堆溢出漏洞
发布日期:2004-12-20
更新日期:2004-12-21
受影响系统:
MIT Kerberos 5 1.3.5描述:
MIT Kerberos 5 1.3.4
MIT Kerberos 5 1.2.9
MIT Kerberos 5 1.2.8
MIT Kerberos 5 1.2.7
CVE(CAN) ID: CVE-2004-1189
Kerberos是一款广泛使用的使用强壮的加密来验证客户端和服务器端的网络协议。
MIT Kerberos 5管理库在密码历史处理代码中存在一个堆溢出,远程攻击者可以利用这个漏洞以进程权限执行任意指令。
溢出发生在'src/lib/kadm5/srv/svr_principal.c'中的add_to_history()函数中,密码历史存储在一个缓冲区中,即adb->old_keys指向的osa_pw_ent_rec数组,adb->old_key_next是数组的一个索引,数组长度存在adb->old_key_len中,数组动态可调整大小并且没有独立头指针。
策略历史计数存储在pol->pw_hist_num中,但是实际KEYS的最大值存在于adb->old_keys的是pol->pw_hist_num-1,因为当密码更改发生时,"current" key数据也用于历史的对比。
如果adb->old_key_next小于pol->pw_hist_num-1,adb->old_key_next索引值允许指向adb->old_keys数组最后的一个位置。当后续调用add_to_history()增加数组时需要解决越界索引。
在密码更改后如果pol->pw_hist_num递减为adb->old_key_next,就会引起adb->old_key_next索引越界,后续的密码更改将不会调用调整大小代码,add_to_history()函数就会写密码条目到adb->old_keys数组之后的位置。
精心构建提交数据可能以进程权限执行任意指令。
一般管理者需要执行部分密码更改操作才会建立这个受此漏洞影响的状态。
<*来源:Tom Yu (tlyu@mit.edu)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110358420909358&w=2
*>
建议:
厂商补丁:
MIT
---
* 后续发行的krb5-1.4 release会包含此漏洞的补丁,krb5-1.4-beta3 release同样包含此问题的修正。
* 后续的krb5-1.3.6 patch release补丁将修正此问题。
* 对src/lib/kadm5/srv/svr_principal.c采用如下补丁,并重新编译库和程序,此补丁针对krb5-1.3.5:
http://web.mit.edu/kerberos/advisories/2004-004-patch_1.3.5.txt
相关PGP签名可从如下地址获得:
http://web.mit.edu/kerberos/advisories/2004-004-patch_1.3.5.txt.asc
相关补丁内容:
Index: svr_principal.c
===================================================================
RCS file: /cvs/krbdev/krb5/src/lib/kadm5/srv/svr_principal.c,v
retrieving revision 1.26.2.1
diff -c -r1.26.2.1 svr_principal.c
*** svr_principal.c 2 Sep 2003 18:58:56 -0000 1.26.2.1
- --- svr_principal.c 20 Dec 2004 19:47:29 -0000
***************
*** 1017,1022 ****
- --- 1017,1025 ----
memset(&adb->old_keys[adb->old_key_len],0,sizeof(osa_pw_hist_ent));
adb->old_key_len++;
+ for (i = adb->old_key_len - 1; i > adb->old_key_next; i--)
+ adb->old_keys[i] = adb->old_keys[i - 1];
+ memset(&adb->old_keys[adb->old_key_next],0,sizeof(osa_pw_hist_ent));
} else if (adb->old_key_len > pol->pw_history_num-1) {
/*
* The policy must have changed! Shrink the array.
***************
*** 1039,1048 ****
histp[i] = adb->old_keys[j];
}
/* Now free the ones we don't keep (the oldest ones) */
! for (i = 0; i < adb->old_key_len - (pol->pw_history_num - 1); i++)
for (j = 0; j < adb->old_keys[KADM_MOD(i)].n_key_data; j++)
krb5_free_key_data_contents(context,
&adb->old_keys[KADM_MOD(i)].key_data[j]);
free((void *)adb->old_keys);
adb->old_keys = histp;
adb->old_key_len = pol->pw_history_num - 1;
- --- 1042,1053 ----
histp[i] = adb->old_keys[j];
}
/* Now free the ones we don't keep (the oldest ones) */
! for (i = 0; i < adb->old_key_len - (pol->pw_history_num-1); i++) {
for (j = 0; j < adb->old_keys[KADM_MOD(i)].n_key_data; j++)
krb5_free_key_data_contents(context,
&adb->old_keys[KADM_MOD(i)].key_data[j]);
+ free(adb->old_keys[KADM_MOD(i)].key_data);
+ }
free((void *)adb->old_keys);
adb->old_keys = histp;
adb->old_key_len = pol->pw_history_num - 1;
***************
*** 1052,1061 ****
- --- 1057,1070 ----
}
}
+ if (adb->old_key_next + 1 > adb->old_key_len)
+ adb->old_key_next = 0;
+
/* free the old pw history entry if it contains data */
histp = &adb->old_keys[adb->old_key_next];
for (i = 0; i < histp->n_key_data; i++)
krb5_free_key_data_contents(context, &histp->key_data[i]);
+ free(histp->key_data);
/* store the new entry */
adb->old_keys[adb->old_key_next] = *pw;
浏览次数:2570
严重程度:0(网友投票)
绿盟科技给您安全的保障