Il MIT (Massachusetts Institute of Technology) ha confermato la presenza di alcune gravi vulnerabilità di sicurezza nelle implementazioni del protocollo Kerberos, all’interno dei vari sistemi operativi.
Kerberos è un protocollo di rete per l’autenticazione tra applicazioni client-server che utilizza una soluzione crittografica a chiave segreta (“crittografia a chiave simmetrica”. Integrato in moltissimi prodotti commerciali, sul sito del MIT è disponibile un’implementazione gratuita del protocollo.
Kerberos è stato concepito per porre rimedio all’utilizzo di un canale di comunicazione insicuro, qual è la rete Internet, per la trasmissione di dati importanti. Il protocollo fa in modo che un sistema client possa provare la sua identità ad un server (e viceversa) pur utilizzando lo stesso canale insicuro. Dopo aver attestato reciprocamente la propria identità, client e server possono scambiarsi comunicazioni cifrate così da assicurare segretezza ed integrità dei dati.
Come confermato da Secunia e dallo stesso MIT, alcune vulnerabilità – appena scoperte in Kerberos – potrebbero consentire la messa a segno di molteplici tipologie d’attacco: sottrazione di dati sensibili, attacchi DoS (Denial of Service) e compromissione del sistema.
La falle di sicurezza individuate in Kerberos sono state valutate come “altamente critiche” e sono strettamente correlate con la gestione delle variabili e delle risposte fornite alle richieste Kerberos pervenute.
Le versioni vulnerabili di Kerberos 5 sono la 1.6.3 e precedenti, con qualche differenza per quanto riguarda l’impatto delle varie problematiche scoperte.