Kerberos, l’ancestral système d’authentification initialement développé par le MIT aux Etats-Unis, est victime de trois vulnérabilités. A elles trois, elles viennent contredire la fonction même de l’outil : authentifier les utilisateurs du système d’information et ne pas leur donner plus de droits que nécessaire.Des trois, seule la première est exploitable par un utilisateur non authentifié au préalable. En se connectant par Telnet au serveur d’administration de Kerberos (qui héberge le MIT Kerberos administration daemon), il est ainsi possible d’accéder au système sous n’importe quelle identité, y compris celle du super-utilisateur root. Bien entendu, cette faille béante n’est exploitable que lorsque Telnet est activé… ce qui n’a jamais été une bonne idée.Les deux vulnérabilités suivantes ne sont accessibles qu’à un utilisateur déjà authentifié dans le « Royaume » Kerberos. Elles permettent d’exécuter du code, notamment sur le serveur de clés. Les vulnérabilités sont exploitables, pour l’une, en empoisonnant le système de journalisation du système d’authentification (pour provoquer un buffer overflow), et pour l’autre en forçant le système à libérer par deux fois la mémoire (un Double Free), ce qui mène ici aussi à un buffer overflow.Bien entendu, le fait que seuls des utilisateurs déjà au sein du Royaume soient en mesure d’exploiter ces deux dernières vulnérabilités réduit leur impact. Mais pour les nombreuses universités, centres de recherche et autres lieux semi-publics qui utilisent massivement Kerberos, ce n’est qu’une demi bonne nouvelle !Des correctifs sont disponibles pour chacune de ces vulnérabilités, et la prochaine version (krb5-1.6.1) les intégrera bien entendu.Attention : certains composants du Kerberos du MIT sont utilisés dans les produits de très nombreux éditeurs (notamment les librairies GSS-API et RPC), et ils sont également susceptibles d’être vulnérables.Nous n’avons enfin pas pu confirmer si la version de Kerberos intégrée à Windows était vulnérable.