検出

openSUSEセキュリティ更新プログラム:libheimdal(openSUSE-2019-1682)

high Nessus プラグイン ID 126437

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このlibheimdalの更新では、次の問題が修正されています:

libheimdalはバージョン7.7.0へ更新されました:

 + バグ修正:

 - PKCS#11 hcryptoバックエンド:

 + p11_module_load関数リストを初期化します

 + メカニズムが存在するだけでなく、そのメカニズム情報が、必要な暗号化、復号、またはダイジェストサービスを提供していることを検証します

 - krb5:

 + 7.6から、Heimdalは認証された匿名のチケットのリクエストを許可していました。ただし、リクエストされたときにKDCが匿名チケットを実際に返したことを検証していませんでした。

 + S4UProxy(制約付き委任)TGSリクエスト発行時のKDCOption reaQuest_anonymousフラグの設定を中止します。

 + Win2K PKINIT互換性オプションが設定されている場合、KDC証明書を検証する際にkrbtgt otherNameの一致を必須としません。

 + Appleの実装ごとにPKINIT_BTMMフラグを設定します

 + memset()の代わりにmemset_s()を使用します

 - kdc:

 + ASでKRB5SignedPathを生成する際に、リクエストからのものではなく返信クライアント名を使用します。これにより、検証がTGSで正しく機能します。

 + PA-FOR-USERのチェックサムがHMAC_MD5になるようにします。TGTが異なるチェックサムのenctypeを使用した場合。[MS-SFU] 2.2.1 PA-FOR-USERによると、チェックサムは常にHMAC_MD5であり、WindowsおよびMITのクライアントが送信するものです。
 Heimdalでは、クライアントとkdcの両方が代わりにTGTのチェックサムを使用するため、相互に機能しますが、WindowsとMITのクライアントはHeimdal KDCに対して失敗します。
 WindowsとMIT KDCの両方で、任意のキーチェックサムの使用が許可されるため、Heimdalクライアントは問題なく動作します。
 仕様ごとのクライアントをサポートするために、RC4ベース以外のTGTであってもHMAC_MD5を許可するようにHeimdal KDCを変更します。

 + memset()の代わりにmemset_s()を使用します

 + リクエスト匿名フラグを設定したS4UProxy(制約付き委任)TGSリクエストを発行するHeimdal 1.0〜7.6クライアントを検出します。これらのリクエストは、匿名リクエストではなく、S4UProxyリクエストとして扱われます。

 - HDB:

 + SQLite3バックエンドのデフォルトページサイズを8KBに設定します。

 + hdb_set_sync()メソッドを追加します

 - kadmind:

 + 不要なディスクi/oを回避しながら、データベースのロード中にHDB同期を無効にします。

 - ipropd:

 + receive_everything中にHDB同期を無効にします。完全なHDBを受信する際にレコードごとにfsyncを実行すると、パフォーマンス障害を引き起こします。とりわけ、HDBが非常に大きい場合、1つのスレーブがフルHDBを受信すると、他のスレーブがタイムアウトする可能性があります。また、HDB書き込みアクティビティがipropログの切り捨てを引き起こすのに十分高い場合は、完全同期も必要です。そのため、HDBの書き込みアクティビティがドロップするまで、すべてのスレーブに対して完全同期のサイクルが発生します。ipropログを大きくするのは助かりますが、receive_everything()のパフォーマンスを改善することはさらに助かります。

 - kinit:

 + 匿名のPKINITチケットが、発行元ASの位置を特定するために使用されるレルム情報を破棄します。更新できるKDCを見つけるために、発行するレルムを認証情報キャッシュに保存します。

 + 匿名のPKINIT開始レルムを決定する際に、krb5_cc_get_config()の結果を漏洩しません。

 - klist:

 + 認証情報を一覧表示する際に、transited-policy-checked、ok-as-delegate、および匿名のフラグを表示します。

 - tests:

 + 潜在的な問題が解決されるまで、テストパッケージが32ビットオペレーティングシステムでパスするように、証明書が2038年のarmageddonより前に失効するように再生成します。

 - documentation:

 + verify-passwordの名前をverify-password-qualityに変更します

 + hpropのデフォルトモードは暗号化

 + kadmindの「all」権限に「get-keys」が含まれません

 + verify-password-qualityがステートレスではない可能性があります

バージョン 7.6.0:

 - Security(#555):

 - CVE-2018-16860 Heimdal KDC:キーのないチェックサムでPA-S4U2Selfを拒否します

 Heimdal KDCが、リクエストされたプリンシパルを変更から保護するためにサーバーによってS4U2Selfパケットに配置されたチェックサムをチェックするとき、リクエストのユーザー名(プリンシパル)を保護するチェックサムアルゴリズムがキーイングされていることを確認しません。これにより、KDCへのリクエストを傍受できる中間者攻撃者が、リクエストのユーザー名(プリンシパル)をKDCに存在する任意のユーザー名(プリンシパル)に置換し、この名前を保護するチェックサムをCRC32チェックサムで計算します(計算するための予備知識は必要ありません)。
 これにより、ユーザー名(プリンシパル)[email protected]に代わって任意のサービスにリクエストされたS4U2Selfチケットを、ユーザー名(プリンシパル)が[email protected]であるS4U2Selfチケットに変更できます。このチケットには、変更されたユーザー名(プリンシパル)のPACが含まれます。

 - CVE-2019-12098、クライアントのみ:

 RFC8062セクション7では、匿名のPKINITが使用される場合に、PA-PKINIT-KX鍵交換の検証が必要です。
 そうしないと、アクティブな攻撃者が中間者になる可能性があります。

 + バグ修正:

 - ハッピーアイボール:既知の到達不能なKDCからの応答を待機しません。

 - kdc:

 + copy_Realm、copy_PrincipalName、copy_EncryptionKeyを返すチェック

 - kinit:

 + 一時ccacheをクリーンアップ

 +「kinit --anonymous」コマンドライン構文の変更についてはmanページを参照してください

 - kdc:

 + 匿名のASリクエストをさらにRFC8062に準拠させます。
 期限切れのテスト証明書を更新しました

 + 機能:

 - kuser:kinitで認証された匿名のAS-REQをサポートします

 - kdc:匿名のTGS-REQをサポート

 - 匿名のサービスチケットに対するkgetcredのサポート

 - OpenSSL 1.1.1を使用したビルドのサポート

ソリューション

影響を受けるlibheimdalパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1047218

https://bugzilla.opensuse.org/show_bug.cgi?id=1084909

プラグインの詳細

深刻度: High

ID: 126437

ファイル名: openSUSE-2019-1682.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2019/7/2

更新日: 2024/5/13

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6

現状値: 4.4

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-16860

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libheimdal, p-cpe:/a:novell:opensuse:libheimdal-debuginfo, p-cpe:/a:novell:opensuse:libheimdal-debugsource, p-cpe:/a:novell:opensuse:libheimdal-devel, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/7/1

脆弱性公開日: 2019/5/15

参照情報

CVE: CVE-2018-16860, CVE-2019-12098