MIT-Kerberos in neuer Version
Mit der neuen Kerberos Version 1.7 schließt das MIT nicht nur Sicherheitslücken in seiner freien Authentifierzierungs-Plattform.
- Mark Pröhl
Das Massachusetts Institute of Technology hat die Version 1.7 seiner Kerberos-Distribution veröffentlicht. In der alten Version 1.6.3 waren Sicherheitslücken bekannt geworden (CVE-2009-0844, CVE-2009-0845, CVE-2009-0846 und CVE-2009-0847, die bisher nur in Form von Patches (1, 2) geschlossen wurden.
Neben dem Schließen dieser Lücken bringt MIT-Kerberos-1.7 einige sicherheitsrelevante Neuerungen mit. Innerhalb des Kerberos-v5-Protokolls erhöhten die Entwickler die Sicherheit, indem sie Verschlüsselungsverfahren wie DES als schwach gekennzeichnet haben. Anwender können diese durch den neuen Konfigurationsparameter allow_weak_crypto deaktivieren. In der Voreinstellung lässt MIT-Kerberos 1.7 DES zwar noch zu, dies soll sich aber in einer der nächsten Versionen ändern. Die Unterstützung für die zu Recht als unsicher geltende Protokollversion Kerberos-v4 strichen die Kerberos-Experten des MIT ebenfalls.
Andere Neuerungen sorgen für größere Kompatibilität mit Microsofts Implementierung des Kerberos-Protokolls. Dazu gehören die Unterstützung von Referrals in der Client-Bibliothek und im Key Distribution Center (KDC), die Erkennung von NTLM im GSSAPI und die Möglichkeit, Kerberos-Tickets über Plug-ins mit Autorisierungsdaten zu versehen. Darüber hinaus unterstützt das KDC auch Principal-Aliase, allerdings setzte dies ein LDAP-Backend voraus. Auch die Verwaltung dieser Principal-Aliase muss direkt mit LDAP-Mitteln erfolgen, ein anderes administratives Interfaces sieht das MIT derzeit nicht vor.
Auch für die Delegation von Kerberos-Credentials nähert sich MIT-Kerberos der Microsoft-Welt an. Das KDC kann jetzt das Ticket-Flag OK_AS_DELEGATE setzen, um damit im Rahmen einer Delegation vertrauenswürdige Dienste auszuzeichnen. Gleichzeitig kann die GSSAPI-Bibliothek solche Vorgaben analog zur Microsoft-Implementierung SSPI auswerten. Eine andere Neuerung betrifft das Replikationsprotokoll: Die Replikation zwischen Master- und Slave-KDCs kann jetzt auch inkrementell erfolgen.
Eine komplette Liste aller Änderungen findet sich im README zur aktuellen Version. (Mark Pröhl) / (avr)
