[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: NetBSD Security Advisory 2003-006: Cryptographic weaknesses inKerberos v4 protocol

Subject: Re: NetBSD Security Advisory 2003-006: Cryptographic weaknesses inKerberos v4 protocol
From: Hiroki Sato <hrs@eos.ocn.ne.jp>
To: www-changes-ja@jp.netbsd.org
Date: Sun, 13 Apr 2003 23:40:46 +0900 (JST)
Message-Id: <20030413.234046.48519587.hrs@eos.ocn.ne.jp>
In-Reply-To: <20030404164344.GE22049@vex>
References: <20030404164344.GE22049@vex>
Delivered-To: mailing list www-changes-ja@jp.netbsd.org
Mailing-List: contact www-changes-ja-help@jp.netbsd.org; run by ezmlm-idx

佐藤＠東京理科大学です。

 ごめんなさい、ちょっと年度替わりの時期で忙しくなってしまって
 遅くなりました。

 2003-00[69] の翻訳です。最新のものに合わせてあります。

--
| 佐藤 広生＠東京理科大学 <hrs@eos.ocn.ne.jp>
|                         <hrs@FreeBSD.org> (FreeBSD Project)

NetBSD セキュリティー勧告 日本語訳
=============================================================================
NetBSD Security Advisory 2003-006 (2003/04/04)
 * Cryptographic weaknesses in Kerberos v4 protocol
=============================================================================

 このメールは, netbsd-announce に流れた

  Subject: NetBSD Security Advisory 2003-006: Cryptographic weaknesses in Kerberos v4 protocol
  From: NetBSD Security Officer <security-officer@netbsd.org>
  Date: Fri, 4 Apr 2003 11:43:44 -0500
  Message-Id: <20030404164344.GE22049@vex>

 を、www.NetBSD.ORG 翻訳プロジェクトが日本語訳したものです
 (日本語訳は NetBSD-SA2003-006.txt,v 1.7 に基づいています)。

 原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。
 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の
 チェックを行なうには。原文を参照してください。

------------------------------- ここから ------------------------------------



		 NetBSD Security Advisory 2003-006
		 =================================

トピック:	Kerberos v4 プロトコルにおける暗号の弱点
		(Cryptographic weaknesses in Kerberos v4 protocol)


バージョン:	NetBSD-current:	2003 年 3 月 20 日より前のソース
		NetBSD 1.6:	影響あり
		NetBSD-1.5.3:	影響あり
		NetBSD-1.5.2:	影響あり
		NetBSD-1.5.1:	影響あり
		NetBSD-1.5:	影響あり
		pkgsrc:		kth-krb4-1.2.1 より前のものおよび、
				heimdal-0.5.1 より前のものは影響あり

影響範囲:	Kerberos 4 ネットワークのすべてのユーザーの権限が
		不正に使用される可能性がある。
		(Every user on a Kerberos 4 network can be compromised)

修正日:		NetBSD-current:		2003 年 3 月 20 日
		NetBSD-1.6 branch:	2003 年 3 月 22 日 (1.6.1 は修正ずみ)
		NetBSD-1.5 branch:	2003 年 4 月 1 日
		pkgsrc:			kth-krb4-1.2.2 および、
					heimdal-0.5.2 で修正。


概要 - Abstract
===============

Kerberos プロトコルのバージョン 4 の暗号には、選択平文攻撃
(chosen-plaintext attack) によって、攻撃者がレルム (realm) に
あるすべてのプリンシパル (principal) になりすますことができるという弱点が
存在します。この攻撃を利用すると、そのサイトの Kerberos
認証システムの機能を完全に無力化することが可能です。

Kerberos バージョン 5 には、この暗号の弱点は含まれていません。

Kerberos バージョン 4 の機能を完全に無効にしているサイトには、
影響はありません。Kerberos バージョン 4 の機能とは、krb5 における
krb4 互換機能なども含まれます。


技術的な詳細 - Technical Details
================================

攻撃者は krb4 共有クロスレルム鍵を使い、リモートのレルムに存在する
あらゆるサービスに対するすべてのプリンシパルを詐称することが可能です。
これにより KDC の root 権限が不正使用されるだけでなく、
その KDC が提供している認証機能に依存する、すべてのホストが不正に
使用される可能性があります。

この攻撃はクロスレルムプリンシパルに対して実行される可能性もあります。
つまり、攻撃者は複数のレルム間を経由することができ、攻撃者の
ローカルレルムとクロスレルム鍵を共有する、すべてのレルムが
攻撃の脅威にさらされるということです。

また、実現はかなり困難ですが、共有クロスレルム鍵を利用しない攻撃も
考えられます。攻撃者からは少なくとも、攻撃対象のレルムに存在する
任意のプリンシパル名に対する攻撃を行なうことが可能です。

ある未発表の論文には、krb4 プロトコルに詳しい攻撃者であれば、
悪用方法を実装することが簡単にできる程度に、この弱点の詳細が
書かれています。ただし、この勧告の公開時点では、まだ具体的な
悪用方法は広く知られていません。

これらは「プロトコル上の」弱点です。修正を行なうと、本来の
プロトコルが持っている機能に一定の制限が加わります。

修正は KDC となっているマシンで行なう必要があります。サーバー上で
バージョン 4 の機能が無効になっていれば、クライアント側に
修正パッチを適用する必要はありません。


回避方法と解決策 - Solutions and Workarounds
============================================

新しいバージョンにアップグレードすることができなければ、
クロスレルム機能をすべて無効にし、クロスレルム鍵を削除するかランダム化
してください。

``kinit --version'' を実行すると、システムに弱点が存在するかどうか
調べることができます。

current:

	kinit (Heimdal 0.5nb2, KTH-KRB 1.2)
	Copyright (c) 1999-2002 Kungliga Tekniska H�skolan
	Send bug-reports to heimdal-bugs@pdc.kth.se

	と表示されていれば、今回の問題はありません。

次に示す手順は、ソースツリーを更新して再構築し、新しいバージョンの
Heimdal をインストールすることで、問題のあるバイナリーをアップグレード
する方法を説明したものです。


* NetBSD-current:

	2003 年 3 月 20 日より前の NetBSD-current は、
	2003 年 3 月 21 日、もしくはそれ以降の NetBSD-current に
	アップグレードする必要があります。

	CVS ブランチ netbsd-current (別名 HEAD) において
	更新が必要なディレクトリは、次のとおりです。
		crypto/dist/heimdal/kdc
		include/heimdal

	CVS を使ってファイルを更新し、KDC バイナリーを
	再構築・再インストールするには、次のコマンドを実行してください。

		# cd src
		# cvs update -d -P crypto/dist/heimdal/kdc include/heimdal
		# cd usr.sbin/kdc

		# make USETOOLS=no cleandir dependall
		# make USETOOLS=no install


* NetBSD 1.6:

	NetBSD 1.6 のバイナリー配布物には、このセキュリティー上の弱点が
	含まれています。

	2003 年 3 月 22 日より前の NetBSD 1.6 のソースは、
	2003 年 3 月 23 日、もしくはそれ以降の NetBSD 1.6 のソースに
	アップグレードする必要があります。

	NetBSD 1.6.1 には、この弱点に対する修正が含まれる予定です。

	CVS ブランチ netbsd-1-6 において
	更新が必要なファイルは、次のとおりです。
		crypto/dist/heimdal/kdc
		include/heimdal

	CVS を使ってファイルを更新し、KDC バイナリーを
	再構築・再インストールするには、次のコマンドを実行してください。

		# cd src
		# cvs update -d -P -r netbsd-1-6 crypto/dist/heimdal/kdc \
			include/heimdal
		# cd usr.sbin/kdc

		# make USETOOLS=no cleandir dependall
		# make USETOOLS=no install


* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:

	NetBSD 1.5.3 のバイナリー配布物には、このセキュリティー上の弱点が
	含まれています。

	2003 年 3 月 31 日より前の NetBSD-1.5、NetBSD-1.5.1、
	NetBSD-1.5.2、NetBSD-1.5.3 のいずれかのソースを
	使っているシステムは、2003 年 4 月 1 日、もしくはそれ以降の
	NetBSD-1.5.* のソースにアップグレードする必要があります。

	CVS ブランチ netbsd-1-5 において
	更新が必要なファイルは、次のとおりです。
		crypto/dist/heimdal/kdc
		include/heimdal

	CVS を使ってファイルを更新し、KDC バイナリーを
	再構築・再インストールするには、次のコマンドを実行してください。

		# cd src
		# cvs update -d -P -r netbsd-1-5 crypto/dist/heimdal/kdc \
			include/heimdal
		# cd crypto/dist/heimdal/kdc

		# make cleandir dependall
		# make install



謝辞 - Thanks To
================

Sam Hartman および Tom Yu 氏: 最初に問題を指摘し、この勧告の原案を
提供してくれました。

Steve Bellovin 氏: MIT の人たちが弱点を発見するきっかけとなった情報を
提供してくれました。

Love Hornquist-Astrand 氏: 情報交換の手配をしてくれました。

Josef T. Burger 氏: 構築手順の修正を指摘してくれました。


改訂履歴 - Revision History
===========================

	2003-04-04	初版公開
	2003-04-04	構築手順の `cd' の部分を修正


詳細と参考資料 - More Information
=================================

新しい情報が判明した場合、セキュリティー勧告は更新されることがあります。
PGP 署名されたこの勧告の最新版は、次の場所から入手できます。
  ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-006.txt.asc

NetBSD および NetBSD のセキュリティーに関する情報は、次の場所から入手できます。
http://www.NetBSD.ORG/
http://www.NetBSD.ORG/Security/


Copyright 2003, The NetBSD Foundation, Inc.  All Rights Reserved.
Redistribution permitted only in full, unmodified form.

$NetBSD: NetBSD-SA2003-006.txt,v 1.7 2003/04/04 17:56:28 david Exp $

NetBSD セキュリティー勧告 日本語訳
=============================================================================
NetBSD Security Advisory 2003-009 (2003/04/04)
 * sendmail buffer overrun in prescan() address parser
=============================================================================

 このメールは, netbsd-announce に流れた

  Subject: NetBSD Security Advisory 2003-009: sendmail buffer overrun in prescan() address parser
  From: NetBSD Security Officer <security-officer@netbsd.org>
  Date: Fri, 4 Apr 2003 11:43:55 -0500
  Message-Id: <20030404164355.GF22049@vex>

 を、www.NetBSD.ORG 翻訳プロジェクトが日本語訳したものです
 (日本語訳は NetBSD-SA2003-009.txt,v 1.5 に基づいています)。

 原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。
 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の
 チェックを行なうには。原文を参照してください。

------------------------------- ここから ------------------------------------



		 NetBSD Security Advisory 2003-009
		 =================================

トピック:	sendmail の prescan() のアドレス解析部分における
		バッファーオーバーラン
		(sendmail buffer overrun in prescan() address parser)

バージョン:	NetBSD-current:	2003 年 3 月 30 日より前のソース
		NetBSD 1.6:	影響あり
		NetBSD-1.5.3:	影響あり
		NetBSD-1.5.2:	影響あり
		NetBSD-1.5.1:	影響あり
		NetBSD-1.5:	影響あり
		pkgsrc:		sendmail-8.12.9 より前のものは影響あり

影響範囲:	リモートから root 権限が不正使用される可能性がある。
		(Remote root compromise)

修正日:		NetBSD-current:		2003 年 3 月 30 日
		NetBSD-1.6 branch:	2003 年 3 月 30 日 (1.6.1 は修正ずみ)
		NetBSD-1.5 branch:	2003 年 4 月 1 日
		pkgsrc:		sendmail-8.12.9 で修正


概要 - Abstract
===============

- CERT 勧告からの引用:

    sendmail には、攻撃者が sendmail サーバーの制御をリモートから
    乗っ取ることができるような、セキュリティー上の弱点が存在します。
    sendmail のアドレス字句解析コードは、email アドレスの長さをきちんと
    チェックしていません。そのため、特殊な細工を施したアドレスを含む
    email メッセージを使うことで、スタックオーバーフローを発生させる
    ことが可能です。この問題は、Michal Zalewski 氏によって発見されました。

    このセキュリティー上の弱点は、CA-2003-07 で解説されているものとは
    異なるものです。

    このセキュリティー上の弱点は、NetBSD SA2003-002 のものとも
    異なります。


技術的な詳細 - Technical Details
================================

http://www.cert.org/advisories/CA-2003-12.html


回避方法と解決策 - Solutions and Workarounds
============================================


sendmail を実行しているサイトは、可能な限り早くアップグレードしましょう。
現時点でアップグレードが不可能な場合は、sendmail サービスを停止させることを
おすすめします。

システム上で sendmail が実行されているかどうか調べるには、
次のコマンドを実行します。

	# /etc/rc.d/sendmail status

現在実行されている sendmail プロセスを停止させるには、次のコマンドを
実行します。

	# /etc/rc.d/sendmail stop

sendmail が次回の再起動時に実行されないようにするには、次のコマンドを
実行します。

	# echo "sendmail=NO" >>/etc/rc.conf.d/sendmail

アップグレードが完了した後、次回の再起動時に実行されるようにするには、
/etc/rc.conf.d/sendmail の最後にある sendmail=NO という行を削除してください。

バイナリーパッチの適用手順は、下の NetBSD-1.6 用の項で説明しています。

次に示す手順は、ソースツリーを更新して再構築し、新しいバージョンの
sendmail をインストールすることで、sendmail バイナリーをアップグレード
する方法を説明したものです。

* NetBSD-current:

	2003 年 3 月 30 日より前の NetBSD-current は、
	2003 年 3 月 31 日、もしくはそれ以降の NetBSD-current に
	アップグレードする必要があります。

	CVS ブランチ netbsd-current (別名 HEAD) において
	更新が必要なファイルは、次のとおりです。
		gnu/dist/sendmail/sendmail

	CVS を使ってファイルを更新し、sendmail を
	再構築・再インストールするには、次のコマンドを実行してください。
		# cd src
		# cvs update -d -P gnu/dist/sendmail/sendmail
		# cd gnu/usr.sbin/sendmail

		# make USETOOLS=no cleandir dependall
		# make USETOOLS=no install


* NetBSD 1.6:

	NetBSD 1.6 のバイナリー配布物には、このセキュリティー上の弱点が
	含まれています。

	2003 年 3 月 30 日より前の NetBSD 1.6 のソースは、
	2003 年 3 月 31 日、もしくはそれ以降の NetBSD 1.6 のソースに
	アップグレードする必要があります。

	NetBSD 1.6.1 には、この弱点に対する修正が含まれる予定です。

	CVS ブランチ netbsd-1-6 において
	更新が必要なファイルは、次のとおりです。
		gnu/dist/sendmail/sendmail

	CVS を使ってファイルを更新し、sendmail を
	再構築・再インストールするには、次のコマンドを実行してください。

		# cd src
		# cvs update -d -P -r netbsd-1-6 gnu/dist/sendmail/sendmail
		# cd gnu/usr.sbin/sendmail

		# make USETOOLS=no cleandir dependall
		# make USETOOLS=no install

	* バイナリーパッチ

	バイナリーパッチを適用するには、次の手順を行ないます。
	ARCH の部分は、あなたが実行している NetBSD のアーキテクチャー
	(たとえば i386 など) に置き換えてください。

	ftp://ftp.netbsd.org/pub/NetBSD/security/patches/SA2003-009-sendmail/netbsd-1-6/ARCH-sendmail.tgz
	cd / && tar xzvf /path/to/ARCH-sendmail.tgz

	この tar ファイルは、新しい /usr/libexec/sendmail/sendmail を展開し、
	弱点を持ったバイナリーを上書きします。


* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:

	NetBSD 1.5.3 のバイナリー配布物には、このセキュリティー上の弱点が
	含まれています。

	2003 年 4 月 1 日より前の NetBSD-1.5、NetBSD-1.5.1、
	NetBSD-1.5.2、NetBSD-1.5.3 のいずれかのソースを
	使っているシステムは、2003 年 4 月 2 日、もしくはそれ以降の
	NetBSD-1.5.* のソースにアップグレードする必要があります。

	CVS ブランチ netbsd-1-5 において
	更新が必要なファイルは、次のとおりです。
		gnu/dist/sendmail/sendmail

	CVS を使ってファイルを更新し、sendmail を
	再構築・再インストールするには、次のコマンドを実行してください。

		# cd src
		# cvs update -d -P -r netbsd-1-5 gnu/dist/sendmail/sendmail
		# cd gnu/usr.sbin/sendmail

		# make cleandir dependall
		# make install


謝辞 - Thanks To
================


Michal Zalewski 氏および CERT: 問題の指摘をしてくれました。

Andrew Brown 氏: 修正パッチを提供してくれました。


改訂履歴 - Revision History
===========================

	2003-04-04	初版公開
	2003-04-06	バイナリーパッチを追加
	2003-04-07	バイナリーパッチのパスの修正および、
			tar の `p' フラグの追加

詳細と参考資料 - More Information
=================================

新しい情報が判明した場合、セキュリティー勧告は更新されることがあります。
PGP 署名されたこの勧告の最新版は、次の場所から入手できます。
  ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-009.txt.asc

NetBSD および NetBSD のセキュリティーに関する情報は、次の場所から入手できます。
http://www.NetBSD.ORG/
http://www.NetBSD.ORG/Security/


Copyright 2003, The NetBSD Foundation, Inc.  All Rights Reserved.
Redistribution permitted only in full, unmodified form.

$NetBSD: NetBSD-SA2003-009.txt,v 1.5 2003/04/08 02:15:17 david Exp $

Follow-Ups:
- Re: NetBSD Security Advisory 2003-006: Cryptographic weaknesses inKerberos v4 protocol
  - From: SUNAGAWA Keiki <kei_sun@ba2.so-net.ne.jp>

Prev by Date: CVS commit: htdocs
Next by Date: CVS commit: htdocs
Prev by thread: CVS commit: htdocs
Next by thread: Re: NetBSD Security Advisory 2003-006: Cryptographic weaknesses inKerberos v4 protocol
Index(es):
- Date
- Thread