微慑信息网

微软与 Linux 供应商联合修复 Kerberos 协议高危漏洞

安全研究人员于今年 4 月发现网络安全认证协议 Kerberos 存在一处高危漏洞 Orpheus’Lyre(CVE-2017-11103),允许攻击者远程访问目标系统升级权限、窃取用户凭证。7 月 11 日,微软与多家 Linux 供应商联合发布了漏洞补丁。

Kerberos 是一种加密认证协议,其初始密码为大量未经身份验证的明文,这也意味着部分 Kerberos 信息既不加密,也不以某种直接加密方式进行保护。在某些特定情况下,这可能是多数漏洞产生的根源。尽管 Kerberos 协议存在未经身份验证的明文,但它还是极其安全可信的。不过,研究人员需要非常小心地获取每个数据细节,以便对明文进行身份验证。

调查显示,攻击者可利用 Orpheus’Lyre 漏洞直接从未受保护的密钥分配中心(KDC)中获取元数据,该漏洞甚至影响了包括微软与瑞典 KTH 皇家理工学院(Heimdal)在内的不同版本 Kerberos 协议的实施。

kerberos

研究表明,用户可通过删除未加密字段防止漏洞被利用,以便在合成认证请求时强制使用加密字段。安全专家们也建议用户仔细检查每款 Kerberos 协议的运行,因为并非所有供应商都能预期修复漏洞。

原作者:Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

 

from hackernews.cc.thanks for it.

本文标题:微软与 Linux 供应商联合修复 Kerberos 协议高危漏洞
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0715_5258.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 微软与 Linux 供应商联合修复 Kerberos 协议高危漏洞
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们