网络认证技术曝重大安全漏洞 攻击之门已经敞开

cxt11

      CNET科技资讯网7月14日国际报道 广为使用的网络认证技术Kerberos两项重大安全漏洞可能导致多项软件遭到黑客攻击，专家表示。
　　麻省理工学院（MIT）周二公告，由该校开发出来可自由下载的Kerberos发现一项漏洞，MIT 将危险等级定为“重大”。
MIT 已发布补丁程序，并表示黑客通过该漏洞攻击“相信很难。”
　　多家软件企业，像是Red Hat 、Turbolinux与Gentoo都已为其Linuxo版的Kerberos发布补丁程序。Sun 则在周二发布两项警讯承认数个Solaris 版本的Kerberos可能遭受攻击，但尚未发布补丁程序。
　　由于Kerberos相当普及，许多厂商可能都会发布安全警讯，弱点管理公司Preventsys首席技术官Brian Grayek指出，“我想你会看到一堆补丁程序出来。”他说。
　　微软也用Kerberos，但使用者自行开发的版本则不会受到影响。
　　MIT 指出，两个bug 会影响Kerberos 1.4.1及之前的版本。
　　独立安全监控公司Secunia 将该瑕疵风险等级定为“相当重大”，属于第二危险的等级。French Security Incident Response Team（FrSIRT）则定为最高级的“重大”。
　　Preventsys的Grayek认为，该漏洞虽然严重，但想攻击却没那么容易。“需要功力十分高强的人才能把漏洞变成攻击，”他说。
　　这并不是Kerberos上发现的第一个漏洞。今年三月，MIT 也警告Kerberos上的telnet程序出现重大bug.去年八月也曾发现“重大”瑕疵。
　　本月稍早另一个广为使用的软件──开放源代码信息压缩技术zlib──也出现漏洞，并会导致某些同样软件遭到攻击。该漏洞让攻击者得以控制电脑或让使用zlib的应用程序挂掉。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/7702/showart_36745.html