Debian DLA-265-2：pykerberos 迴歸更新

high Nessus Plugin ID 84507

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

據發現，原始修正依預設並未停用 KDC 驗證支援，並且變更了 checkPassowrd() 的簽章。此更新更正了此問題。

此為原始公告的文字：

Martin Prpic 報告，Red Hat Bugzilla (Fedora 錯誤追蹤器) 的 pykerberos 程式碼可能發生攔截式攻擊。上游先前已報告該原始問題 [1]。
我們引用之部分已報告的上游錯誤如下：

在先前的版本中，python-kerberos checkPassword() 方法非常不安全。其過去經常 (且依預設目前仍會) 以 kinit (AS-REQ) 為指定使用者主體的 TGT 要求 KDC，並以密碼是否正確解譯其為成功或失敗。不過，其不會驗證它是否真的與受信任的 KDC 對話：攻擊者可能會簡單回覆，而非以符合他剛剛所提供之密碼的 AS-REP 回覆。

想像您在驗證使用 LDAP 驗證 (而非 Kerberos) 的密碼：您當然會使用 TLS 並搭配 LDAP，以確保您與受信任的真正 LDAP 伺服器對話。此處適用相同需求。kinit 並非密碼驗證服務。

一般方法是以您透過使用者密碼所取得的 TGT，取得驗證器擁有金鑰之主體的票證 (例如，處理使用者名稱/密碼表單登入的 Web 伺服器可能為其自身的 HTTP/host@REALM 主體取得票證)，以便進行驗證。請注意，驗證器必須擁有其自身的 Kerberos 身分，該身分受到 Kerberos 之對稱性的限制 (不過在 LDAP 情況中，使用公開金鑰密碼編譯會允許匿名驗證)。

此版本的 pykerberos 套件為 checkPassword() 方法引入一個新選項。使用 checkPassword() 時，將驗證值設為 True，便會執行 KDC 驗證。您必須提供內含您欲使用之服務的服務主體金鑰之 krb5.keytab 檔案，此設定才能發揮作用。

由於非 root 使用者/處理程序通常無法存取 /etc 中的預設 krb5.keytab 檔案，您必須確保已將內含正確主體金鑰的自訂 krb5.keytab 檔案提供給使用 KRB5_KTNAME 環境變數的應用程式。

注意：在 Debian squeeze(-lts) 中，預設停用 KDC 驗證支援，以免中斷現有設定。

[1] https://www.calendarserver.org/ticket/833

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。