Revista Digital GRIS Edição Abril de 2008 - Sobre o GRIS - UFRJ
Revista Digital GRIS Edição Abril de 2008 - Sobre o GRIS - UFRJ
Revista Digital GRIS Edição Abril de 2008 - Sobre o GRIS - UFRJ
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Múltiplas Vulnerabilida<strong>de</strong>s no Kerberos<br />
Nível: Alto Risco CVE ID's: <strong>2008</strong>-0062 | <strong>2008</strong>-0063<br />
<strong>2008</strong>-0947 | <strong>2008</strong>-0948<br />
Publicada em: 19/03/<strong>2008</strong> Fonte: Secunia<br />
Algumas vulnerabilida<strong>de</strong>s foram reportadas no Kerberos, que po<strong>de</strong>m ser exploradas por<br />
usuários maliciosos com a intenção <strong>de</strong> obter informações sensíveis, causar um estado <strong>de</strong> Negação<br />
<strong>de</strong> Serviço ou comprometer um sistema vulnerável.<br />
Detalhes:<br />
Para enten<strong>de</strong>r melhor:<br />
- Kerberos: É um protocolo <strong>de</strong> transporte <strong>de</strong> re<strong>de</strong>, que permite comunicações individuais seguras e<br />
i<strong>de</strong>ntificadas, em uma re<strong>de</strong> insegura. Para isso o Massachusetts Institute of Technology (MIT)<br />
disponibiliza um pacote <strong>de</strong> aplicativos que implementam esse protocolo.<br />
- KDC: Em sistemas <strong>de</strong> criptografia, um Centro <strong>de</strong> Distribuição <strong>de</strong> chaves (Key Distribuition<br />
Center) tem o objetivo <strong>de</strong> reduzir os riscos inerentes no processo <strong>de</strong> troca <strong>de</strong> chaves entre os<br />
participantes.<br />
- Krb4: Versão 4 do protocolo Kerberos.<br />
- RPC: A Chamada <strong>de</strong> Procedimento Remoto (Remote Procedure Call) é o tipo <strong>de</strong> protocolo para<br />
chamada remota <strong>de</strong> procedimentos em qualquer lugar da re<strong>de</strong> ou uma chamada <strong>de</strong> função para o<br />
método <strong>de</strong> transferência <strong>de</strong> controle <strong>de</strong> parte <strong>de</strong> um processo para outra, permite a divisão <strong>de</strong> um<br />
software em várias partes, compartilhamento <strong>de</strong> arquivos e diretórios.<br />
- Ataque <strong>de</strong> negação <strong>de</strong> serviço: Também conhecido como Denial of Service (DoS), trata-se <strong>de</strong> um<br />
ataque que visa tornar os recursos <strong>de</strong> um sistema indisponíveis para seus utilizadores, através da<br />
sobrecarga dos recursos <strong>de</strong>ste sistema (memória, processamento, etc.), <strong>de</strong> forma a força-lo a<br />
reinicializar ou impedi-lo <strong>de</strong> dispor <strong>de</strong> recursos para fornecer seus serviços. O ataque não se<br />
qualifica como uma invasão, mas sim como uma invalidação por sobrecarga.<br />
A primeira falha ocorre porque o KDC utiliza apenas uma variável global para todas as<br />
requisições krb4 que estão sendo recebidas, porem <strong>de</strong>fine esta variável somente para algumas