krb5のバグ修正とセキュリティアップデート

複数のセキュリティの問題とバグを修正したkrb5のアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重大（Critical）」のセキュリティ問題と評価されています。

Kerberosは、対称鍵暗号（symmetric encryption）とトラステッドサードパーティ（鍵配布センター／KDC）を使用して、クライアントとサーバの相互認証を可能にするネット ワーク認証システムです。

MIT Kerberos Authentication ServiceとKey Distribution Centerサーバ(krb5kdc) の間でKerberos v4プロトコルのパケットを処理する過程において1つの問題が発見されました。認証を受けていないリモート・アタッカーがこの問題を悪用し、改変または不完全なKerberos v4プロトコル・リクエストを使ってkrb5kdcデーモンのクラッシュやそのメモ リに含まれる情報の開示、任意のコードを実行できてしまいます。 (CVE-2008-0062, CVE-2008-0063)

これはKerberos v4プロトコルの互換性を有効にしたkrb5kdcでのみ発生する問題ですが、Red Hat Enterprise Linux 4ではこれがデフォルトで有効になっています。Kerberos v4プロトコルのサポートは /var/kerberos/krb5kdc/kdc.conf の[kdcdefaults]セクションに v4_mode=none と追加することで無効にできます。

MIT Kerberos kadmindサーバが利用しているRPCライブラリの中に1つの問題があることをSecure EndpointsのJeff Altman氏が発見しました。認証を受けていないリモート・ア タッカーがこの問題を悪用し、kadmindをクラッシュやさせたり任意のコードを実行できてしまいます。 特定のリソース制限を設けて構成されたシステムのみ、この問題の影響を受けます。Red Hat Enterprise Linux 5のデフォルトのリソース制限では影響を受けません。 (CVE-2008-0947)

レッドハットは、この問題の報告についてMITに感謝します。

MIT Kerberosが利用しているGSSAPIライブラリのメモリ管理において複数の問題が発見されました。すでに開放されているメモリを利用したり、すでに開放されているメモリブロックを再度開放しようとすることで（double-freeの問題）、クラッシュの誘発や任意のコードの実行を許してしまうものです。 (CVE-2007-5901, CVE-2007-5971)

上記のセキュリティ問題の解決のほかに、以下のバグが修正されています。

* GSSAPIの認証方法としてSPNEGOを利用していた場合、委任されたkrb5の証明書が適切にストアされない問題がありました。その結果、証明書をキャッシュに格納しようとしたアプリケーションは "Invalid credential was supplied" というエラーメッセージを受けていました。このアップデートではSPNEGO証明書が適切に検索されるように修正され、アプリケーションは意図している証明書をコピーできるようになりました。

* アプリケーションは証明書の委任を示すret_flags値を渡すことなく gss_accept_sec_context() を利用してセキュリティコンテクストを確立できるようになりました。この ような際には委任された証明書ハンドルが返されるべきでした。このアップデートパッケージでは gss_accept_sec_context() を呼び出したアプリケーションによって他の ret_flags 値が渡されていない場合に証明書のステータスをストアする temp_ret_flag が追加されました。

* 特定のエラーをTCPが受けた場合や、パケットがUDPに対して大きすぎた場合に kpasswd がフォールバックできませんでした。このアップデートではこの問題が修正されてい ます。

* libkrb5のパスワードルーチンが set-password や change-password リクエストを生成した際、最初のリクエストに続く全てのリクエストで正しくないシーケンスナンバーが生成されていました。プライマリサーバが利用できない場合、この問題が原因でパスワード変更のリクエストに失敗していました。このアップデートパッケージではシーケンス ナンバー値をAP-REQが生成された後で保存し、この値をリクエストが生成される前に再度ストアすることで、この問題を解決しています。

* ユーザのパスワードの有効期限が切れた場合、kinitはユーザに対して単にパスワードの有効期限が切れた旨だけを伝えるだけで、パスワードの変更を促すことができません でした。このアップデートではこの問題が修正され、有効期限が切れている場合はkinitがユーザにパスワードの変更を促すようになっています。

全てのkrb5のユーザは、これらの脆弱性に対応したバックポートフィックスとバグを修正する上記アップデートパッケージにアップグレードしてください。

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

415321 - CVE-2007-5901 krb5: use-after-free in gssapi lib
415351 - CVE-2007-5971 krb5: double free in gssapi lib
432620 - CVE-2008-0062 krb5: uninitialized pointer use in krb5kdc
432621 - CVE-2008-0063 krb5: possible leak of sensitive data from krb5kdc using krb4 request
433596 - CVE-2008-0947 krb5: file descriptor array overflow in RPC library
436460 - gss_krb5_copy_ccache can't find delegated Kerberos creds when using SPNEGO
436465 - gss_init_sec_context() mechglue wrapper doesn't handle ret_flags right
436467 - kpasswd does not fallback to tcp
436468 - krb5 password changing uses incorrect sequence numbers for every server but the first
436470 - kinit does not automatically start a password change when password is expired

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5901
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5971
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0062
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0063
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0947
http://www.redhat.com/security/updates/classification/#critical