• Tweet

Existe una vulnerabilidad en la implementación de Kerberos en varias versiones de Ubuntu, que podría permitir a un atacante provocar una denegación de servicio en servidores vulnerables. El error está en Ubuntu 8.04, Ubuntu 9.10, Ubuntu 10.04 y Ubuntu 10.10. 

El error está en la implementación de Ubuntu del protocolo de autenticación de Kerberos. Ubuntu ha lanzado una serie de nuevos paquetes para corregir la falla. El grupo dijo que en la mayoría de los casos, una actualización del sistema normal añade los nuevos arreglos. 

Desde el asesoramiento de Ubuntu.

Keiichi Mori descubrió que el demonio de propagación (dpropd) de la base de datos del MIT krb5 KDC es vulnerable a un ataque de denegación de servicio debido a la lógica incorrecta cuando el trabajo de un proceso hijo termina a causa de una entrada de la red no válida. Esto sólo podía ocurrir cuando kpropd se ejecuta en modo independiente; kpropd no se vio afectado cuando se ejecuta en modo de propagación incremental ("iprop") o como un servidor inetd. Este problema sólo afecta a Ubuntu 9.10, Ubuntu 10.04 LTS, y Ubuntu 

10.10. (CVE-2010-4022).

Kevin Longfellow y otros investigadores descubrieron que la clave del demonio del Centro de Distribución del MIT krb5 (KDC) es vulnerable a ataques de denegación de servicio cuando se utiliza un back-end LDAP debido a un manejo inadecuado de la red de entrada.(CVE-2011-0281, CVE-2011-0282). 

Kerberos es un protocolo de autenticación de clave que se utiliza en un gran número de productos comerciales y de código abierto.