-----BEGIN PGP SIGNED MESSAGE----- Translations of CA-96.03.kerberos_4_key_server, (c) 1996,1997 by Carnegie Mellon University, with special permission from the Software Engineering Institute. Accuracy and interpretation of this translation are the responsibility of the Japan Computer Emergency Response Team/Coordination Center. The SEI has not participated in this translation. The CERT* Advisories and other CERT publications are available on the Internet (http://www.cert.org/ or ftp://info.cert.org/pub/). Readers may learn about the latest updates to these publications at these locations. *Registered in the U.S. Patent and Trademark Office. ============================================================================= CERT(*) Advisory CA-96.03 Original issue date: February 21, 1996 Last revised: September 24, 1997 Updated copyright statement A complete revision history is at the end of this advisory. Topic: Vulnerability in Kerberos 4 Key Server - ----------------------------------------------------------------------------- ============================================================================= CERT(*) Advisory CA-96.03 初版: 1996年2月21日 最終改訂: 1997年9月24日 著作権表示の部分を更新した。 完全な改訂履歴はこの勧告の最後に添付されている。 主題: Kerberos 4 の鍵サーバのセキュリティ上の弱点 - ----------------------------------------------------------------------------- The CERT Coordination Center has received reports of a vulnerability in the Kerberos Version 4 server. On unpatched Kerberos 4 systems, under certain circumstances, intruders can masquerade as authorized Kerberos users and gain access to services and resources not intended for their use. The CERT team recommends that you apply one of the solutions given in Section III. CERT コーディネーションセンターは、Kerberos バージョン 4 のサーバにセキュリ ティ上の弱点があると報告を受けた。パッチが当たっていない Kerberos 4 システ ムでは、特定の状況において、侵入者が Kerberos の正規ユーザになりすまし、使 用を許可されていないサービスや資源がアクセスされる可能がある。CERT は、III 章に示す解決方法のいずれか 1 つに従うことを推奨する。 The Kerberos Version 5 server running in Version 4 compatibility mode is also vulnerable under certain circumstances. The Massachusetts Institute of Technology (MIT) is working on the patches for that version. バージョン 4 との互換モードで実行している Kerberos バージョン 5 のサーバも、 ある状況下ではセキュリティ上の弱点がある。Massachusetts 工科大学 (MIT) では このバージョン用のパッチを作成中である。 We will update this advisory as we receive additional information. Please check advisory files regularly for updates that relate to your site. 新たな情報を得た場合は、この勧告を更新する。自分のサイトに関連した勧告の改 訂に備え、定期的に勧告を確認して頂きたい。 - ----------------------------------------------------------------------------- I. Description I. 解説 The Kerberos Version 4 server is using a weak random number generator to produce session keys. On a computer of average speed, the session key for a ticket can be broken in a maximum of 2-4 minutes, and sometimes in much less time. This means that usable session keys can be manufactured without a user first being authorized by Kerberos. Kerberos バージョン 4 のサーバは、セッション鍵を生成する際に弱い乱数生 成器を使っている。平均的なスピードのコンピュータでは、チケット用のこの セッション鍵は最大 2 - 4 分、場合によってはそれ以下で解読される。この 事実は、あるユーザが最初に Kerberos による認証を受けることなく、有効な セッション鍵を偽造できることを意味する。 II. Impact II. 影響 Under certain circumstances, intruders can masquerade as authorized Kerberos users and gain access to services and resources not intended for their use. 特定の状況において、侵入者が Kerberos の正規ユーザになりすまし、使用を 許可されていないサービスや資源がアクセスされる可能性がある。 III. Solution III. 対策 If you are running Kerberos Version 4 and have built Kerberos from a source distribution, use solution A. If you have obtained Kerberos 4 binaries from a vendor, use solution B. If you are now using Kerberos Version 5, be aware that MIT is working on patches for that version. Notice will be made when the patches are available. もし Kerberos バージョン 4 を利用しており、かつ、ソース配布から構築し た Kerberos であるなら、対策 A に従うこと。もし、ベンダからバイナリの Kerberos 4 が供給されているなら、対策 B に従うこと。もし、現在 Kerberos バージョン 5 を使っているなら、MIT がこのバージョン用のパッチ を作成していることを知って頂きたい。パッチが利用可能になれば、掲示され る。 A. Solution for Source Distributions A. ソース配布の対策 If you have built Kerberos Version 4 from source, follow these instructions to retrieve the fixes necessary to correct this problem: Kerberos Version 4 をソースから構築した場合は、問題を解決するために、 以下の手順に従って必要な修正を行うこと。 Use anonymous FTP to athena-dist.mit.edu. Change directory to /pub/kerberos, fetch and read "README.KRB4" found in that directory. It will provide the name of the distribution directory (which is otherwise hidden and cannot be found by listing its parent directory). Change directory to the hidden distribution directory. There you will find the original Kerberos distribution plus a new file named "random_patch.tar.Z" (and random_patch.tar.gz for those with "gzip"). This tar file contains two files, the patch itself and a README.PATCH file. Read this file carefully before proceeding. Anonymous FTP を使って athena-dist.mit.edu へアクセスする。 /pub/kerberos ディレクトリにあるファイル "README.KRB4" を入手し、 目を通す。このファイルには配布ディレクトリの名前が書かれている (このディレクトリは通常隠蔽されており、ディレクトリ表示コマンド では見つけられないようになっている)。隠された配布ディレクトリに 移動すると、そこには Kerberos のオリジナルの配布パッケージと共 に "random_patch.tar.Z" という新しいファイルが存在する (gzip 用 の "random_patch.tar.gz" もある)。この tar ファイルには、パッチ と README.PATCH という 2 つのファイルが含まれている。あらかじめ この ファイルをよく読むこと。 As of February 23, 1996, MIT has updated the patch described in advisory CA-96.03. The actual patch has not changed, but the README.PATCH file (part of random_patch.tar.*) which contains instructions on how to install the patch has been edited to include the following new paragraph: 1996年2月23日以降、MIT は勧告 CA-96.03 で述べられているこのパッチを 更新している。パッチ自身は変更されていないが、(random_patch.tar.* の一部である) READE.PATCH ファイルが更新されている。このファイルに はインストール方法が記述されており、以下の記述が追加されている。 >IMPORTANT: After running fix_kdb_keys you must kill and restart the >kerberos server process (it has the old keys cached in memory). Also, >if you operate any Kerberos slave servers, you need to perform a slave >propagation immediately to update the keys on the slaves. >重要: fix_kdb_keys を実行した後は、(古い鍵がメモリ中にキャッシュさ >れているため) Kerberos サーバを一度停止し、再実行しなければならな >い。また、Kerberos のスレーブサーバを運用しているならば、スレーブ >サーバ上の鍵を更新するために、スレーブサーバに対して直ちに通知を行 >わなければならない。 Updated files are now available on "athena-dist.mit.edu" including an updated random_patch.md5 file which contains the MD5 checksums of random_patch.tar.* The PGP Signature is issued by Jeffrey I. Schiller using PGP keyid 0x0DBF906D. The fingerprint is 更新されたファイルは athena-dist.mit.edu から入手できる。この中には random_patch.md5 ファイルがあり、random_patch.tar.* の更新済みの MD5 チェックサムが書かれている。PGP 署名は、Jeffrey I. Schiller のものであり、その PGP 鍵 ID は 0x0DBF906D である。フィ ンガープリントは以下の通りである。 DD DC 88 AA 92 DC DD D5 BA 0A 6B 59 C1 65 AD 01 The updated files are also available from 更新されたファイルは以下からも入手できる。 ftp://info.cert.org/pub/vendors/mit/Patches/Kerberos-V4/ The new checksums are 新しいチェックサムは以下の通りである。 MD5 (random_patch.md5) = ecf5412094572e183aa33ae4e5f197b8 MD5 (random_patch.tar.Z) = e925b687a05a8c6321b2805026253315 MD5 (random_patch.tar.gz) = 003226914427094a642fd1f067f589d2 These files are also available from これらのファイルは以下からも入手できる。 ftp://info.cert.org/pub/vendors/mit/Patches/Kerberos-V4/random_patch.md5 ftp://info.cert.org/pub/vendors/mit/Patches/Kerberos-V4/random_patch.tar.Z ftp://info.cert.org/pub/vendors/mit/Patches/Kerberos-V4/random_patch.tar.gz The checksums are the same as above. チェックサムの内容は上記に等しい。 B. Solution for Binary Distributions B. バイナリ配布の対策 Contact your vendor. Some vendors who provide Kerberos are sending the CERT Coordination Center information about their patches. Thus far, we have received information from one vendor and placed it in the appendix of this advisory. We will update the appendix as we hear from vendors. 利用しているベンダに連絡をとること。Kerberos を提供しているベンダの いくつかは、CERT にパッチ情報を送ってきている。これまでにベンダから 得られた情報を付録として添付する。また、ベンダから情報が得られた場 合は、この付録を更新する。 ......................................................................... Appendix A: Vendor Information 付録 A: ベンダ情報 Below is information we have received from vendors concerning the vulnerability described in this advisory. If you do not see your vendor's name, please contact the vendor directly for information. この勧告で説明したセキュリティ上の弱点に関しベンダから受け取った情報を以下 に示す。もし、利用しているベンダ名がこのリストにない場合は、直接ベンダに連 絡して欲しい。 The Santa Cruz Operation, Inc. - ------------------------------ The Kerberos 4 problem does not affect SCO. Kerberos 4 の問題は、SCO になんら影響を及ぼさない。 SCO OpenServer, SCO Open Desktop, SCO UnixWare, SCO Unix, and SCO Xenix do not support Kerberos. SCO OpenServer、SCO Open Desktop、SCO UnixWare、SCO Unix、そして SCO Xenix には Kerberos をサポートしない。 The SCO Security Server, an add-on product for SCO OpenServer 3 and SCO OpenServer 5, supports Kerberos V5 authentication. This product cannot be configured to be Kerberos V4 compatible; therefore, it is not vulnerable. SCO OpenServer 3 と SCO OpenServer 5 への追加製品である SCO Security Server は、Kerberos V5 の認証をサポートしている。この製品は、Kerberos V4 互換に設 定できないので、弱点はない。 TGV Software, Inc. - ------------------ TGV has made two Kerberos ECO kits available (one for MultiNet V3.4 and one for V3.5) for Anonymous FTP. If you are running Kerberos, we _strongly_ urge you to apply this kit. TGV は、2 つの Kerberos ECO キットを (一方は MultiNet V3.4 用、他方は V3.5 用) を Anonymous FTP 上で公開している。もし、Kerberos を作動させ ているなら、このキットの利用を強く要請する。 To obtain the kit, FTP to ECO.TGV.COM, username ANONYMOUS, password either KERBEROS-034 or KERBEROS-035 (depending on the version of MultiNet that you are running) and download the ECO kit: このキットを入手するには、ECO.TGV.COM へ FTP し、ユーザ名に ANONYMOUS、 パスワードに (MultiNet のバージョンに応じて) KERBEROS-034 か KERBEROS-035 を入力し、ECO キットをダウンロードするとよい。 ftp://anonymous:kerberos-035@eco.tgv.com The kit is available in both VMS BACKUP save set format as well as in a compressed .ZIP file. Use VMSINSTAL to apply the ECO. キットは VMS BACKUP セーブセットフォーマットか圧縮された .ZIP ファイル の 2 つの形式で入手可能である。ECO を組み込むには VMSINSTAL を利用する とよい。 Once you have completed the upgrade, the KITREMARK.VUR file from the ECO kit will be displayed providing instructions during the installation process. アップグレードが完了したら、インストール中の手順を示す ECO キットの KITREMARK.VUR ファイルが表示される。 If you have any questions, please send an e-mail message to 質問があるなら、電子メールを以下まで送って頂きたい。 MultiNet-VMS@Support.TGV.COM Transarc Corporation - -------------------- Kerberos Version 4.0 is used in our AFS product (all versions of AFS), while Kerberos Version 5.0 is used in our DCE product (Kerberos Version 5.0 is used in ALL DCE products). Kerberos バージョン 4.0 は、(全てのバージョンの) AFS 製品に使用されて いる。一方、(全てのバージョンの) DCE 製品には、Kerberos バージョン 5 が利用されてる。 In light of the COAST work, Transarc is doing a security review of Kerberos 4.0 and AFS. We expect to provide some procedural changes to improve security in new cells, and we will make code changes as necessary. OSF also reviewed Kerberos 5.0, and they have released a source patch for Kerberos 5.0 that strengthens the random number generator in Kerberos 5.0. This patch is relevant to all versions of DCE (but not to AFS since it is based on Kerberos 4.0). COAST の見解に従って、Transarc は Kerberos 4.0 と AFS のセキュリティを 検証中である。セキュリティを向上するために手続きに若干の修正を加えるこ とになるだろう。また、必要であればコードを変更する予定である。OSF も Kerberos 5.0 を検証した。そして、Kerberos 5.0 の乱数生成器を強化するた めのソースへのパッチをリリースした。このパッチは、DCE の全てのバージョ ンに有効である (しかし、Kerberos 4.0 ベースなので AFS には有効でない)。 Transarc has this OSF patch available for DCE 1.1 on Solaris 2.4, DCE 1.0.3a on Solaris 2.4, DCE 1.0.3a on Solaris 2.3, and DCE 1.0.3a on Sun OS 4.1.3. Please contact Transarc Customer Support for access to these patches. Transarc は、Solaris 2.4 上の DCE 1.1、Solaris 2.4 上の DCE 1.0.3a、 Solaris 2.3 上の DCE 1.0.3a、Sun OS 4.1.3 上の DCE 1.0.3a のために利用 可能な OSF のパッチを所有している。これらのパッチを入手するためには、 Transarc カスタマーサポートセンターへ連絡していただきたい。 Please feel free to contact me directly if you have further questions about this issue. この件に関し質問がある場合は、気軽に私まで連絡して頂きたい。 For pointers and background on these issues please refer to この件に関する背景と情報は、以下を参照のこと。 http://www.transarc.com/afs/transarc.com/public/www/Public/Support/security-\ update.html Liz Hines Hines@transarc.com - --------------------------------------------------------------------------- The CERT Coordination Center thanks Jeffrey Schiller and Theodore Ts'o of Massachusetts Institute of Technology for their effort in responding to this problem, and thanks Gene Spafford of COAST for the initial information about the problem. - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- CERT コーディネーションセンターは、この問題の解決に尽力した Massachusetts 工科大学の Jeffrey Schiller 氏と Theodore Ts'o 氏に感謝する。そして、この問 題を最初に指摘した COAST の Gene Spafford 氏に感謝する。 - --------------------------------------------------------------------------- If you believe that your system has been compromised, contact the CERT Coordination Center or your representative in the Forum of Incident Response and Security Teams (FIRST). もし、自分のサイトのシステムが侵入されたと思ったときは、CERT コーディネーショ ンセンター、あるいは近くの FIRST (Forum of Incident Response and Security Teams) 加盟チームに連絡して欲しい。 We strongly urge you to encrypt any sensitive information you send by email. The CERT Coordination Center can support a shared DES key and PGP. Contact the CERT staff for more information. 電子メールで重要な情報を送るときは、暗号化することを強く要請する。CERT コー ディネーションセンターは、DES と PGP を使用できる。詳細は CERT スタッフに問 い合わせて欲しい。 Location of CERT PGP key CERT の PGP 公開鍵の入手場所 ftp://info.cert.org/pub/CERT_PGP.key CERT Contact Information - ------------------------ Email cert@cert.org Phone +1 412-268-7090 (24-hour hotline) CERT personnel answer 8:30-5:00 p.m. EST (GMT-5)/EDT(GMT-4), and are on call for emergencies during other hours. Fax +1 412-268-6989 Postal address CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA CERT へのコンタクト方法 - ----------------------- 電子メール cert@cert.org 電話 +1 412-268-7090 (24-hour hotline) CERT personnel answer 8:30-5:00 p.m. EST (GMT-5)/EDT(GMT-4), and are on call for emergencies during other hours. ファックス +1 412-268-6989 住所 CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA To be added to our mailing list for CERT advisories and bulletins, send your email address to CERT 勧告と公報を提供するメーリングリストを購読したい場合は、次のアドレスに 自分の電子メールアドレスを書いて送って欲しい。 cert-advisory-request@cert.org CERT publications, information about FIRST representatives, and other security-related information are available for anonymous FTP from CERT の発行文書、FIRST に関する情報、その他セキュリティに関する情報は、 anonymous FTP により以下から入手できる。 ftp://info.cert.org/pub/ CERT advisories and bulletins are also posted on the USENET newsgroup CERT 勧告と公報は、USENET の次のニュースグループにも投稿されている。 comp.security.announce - ------------------------------------------------------------------------------ Copyright 1996 Carnegie Mellon University. Conditions for use, disclaimers, and sponsorship information can be found in http://www.cert.org/legal_stuff.html and ftp://ftp.cert.org/pub/legal_stuff . If you do not have FTP or web access, send mail to cert@cert.org with "copyright" in the subject line. Copyright 1996 Carnegie Mellon University. 使用条件、免責事項、スポンサーと の契約に関する情報については、http://www.cert.org/legal_stuff.html あるいは ftp://ftp.cert.org/pub/legal_stuff から入手できる。もし、FTP や web による アクセスが不可能な場合は、cert@cert.org 宛にメールを送って欲しい。そのとき にはサブジェクト行に "copyright" と書くこと。 CERT is registered in the U.S. Patent and Trademark Office. CERT は合衆国特許商標庁に登録済みである。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Revision history Sep. 24, 1997 Updated copyright statement Aug. 30, 1996 Information previously in the README was inserted into the advisory. Mar. 08, 1996 Appendix, TGV Software & Transarc - added entries Feb. 23, 1996 Sec. III.A - noted a change in the readme.patch file and put new MD5 checksums at the end of the section. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 改訂履歴 1997年9月24日 著作権表示の部分を更新した。 1996年8月30日 以前 README に記載されていた情報がこの勧告に盛り込まれた。 1996年8月8日 「付録」の章, TGV Software と Transarc の節を追加した。 1996年2月23日 III.A 章 - readme.patch ファイルの変更に関する注意書き を追加し、章末の MD5 のチェックサムを更新した。 - ---------------------------------------------------------------------------- JPCERT/CC 改訂履歴 2000年8月25日 最新情報の URL の更新 1999年8月9日 ヘッダの誤字の修正。 フッタの更新。 1998年2月17日 初版 ====================== この文書の取扱に関する注意事項 ====================== この文書は、原著作権者から翻訳の許諾を受け、JPCERT/CC が独自に翻訳し た文書です。この翻訳文書を商業目的に使用することを禁止します。また JPCERT/CC の許諾なく再配布することを禁止します。 翻訳にあたっては、誤訳や誤解を生じるような表現をなくすように努力して おりますが、もし万が一不具合を見つけた場合には、JPCERT/CC にご連絡頂け れば幸いです。また、それ以外にも、この翻訳に関して質問等がある場合には、 JPCERT/CC にご連絡をお願い致します。連絡先は次の通りです。 info@jpcert.or.jp この翻訳文書は、随時更新される可能性がありますので、最新情報について は、次を参照してください。 http://www.jpcert.or.jp/tr/cert_advisories/ また翻訳文書の原文書も随時更新される可能性がありますので、そちらも参 照してください。翻訳文書と原文書のバージョンが異なる場合には、原文書が 最新情報です。 ===================== JPCERT/CC からのお知らせとお願い ===================== 本文書で解説した不正アクセスも含め、インターネット上で引き起こされる さまざまな不正アクセスに関する情報がありましたら、JPCERT/CC 所定の報告 様式にご記載のうえ、関連するログファイルのメッセージとともに、次のアド レスまでお送りください。 info@jpcert.or.jp 報告様式等、JPCERT/CC への連絡方法につきまして、詳しくは次の URL を ご参照下さい。 http://www.jpcert.or.jp/contact.html JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、次の URL を ご参照ください。 http://www.jpcert.or.jp/ JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、メー リングリストを開設しています。登録の方法等、詳しくは、次の URL をご参 照ください。 http://www.jpcert.or.jp/announce.html __________ 注: この文書は、不正アクセスに対する一般的な情報提供を目的としており、特定 の個人や組織に対する個別のコンサルティングが目的ではありません。そのため、 個別の問題に関するお問い合わせ等に必ずお答えできるとは限りません。また、お 答えできる場合でもご回答が遅れる可能性があります。 JPCERT/CC は、この文書に記載された情報の内容が正確であるよう努めていますが、 正確性を含め一切の品質についてこれを保証致しません。この文書に記載された情 報に基づいて、貴方あるいは貴組織がとられる行動、あるいはとられなかった行動 によって、直接的、間接的または偶発的に引き起こされた結果に対して、JPCERT/CC は何ら保証致しません。 -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia iQCVAwUBOaXl7Ix1ay4slNTtAQHfSAP/eLyC7ibIPeM3HUvV/dqopsQbn9CV/duL zkJT7DKOjo3ieGZxKj7jh5/NsbGAc0o42ASbTmnAvsl+snVLSwzaQvaVuW7N2rPP 7xV2W/3SB5tkX+LyPAmpnfhJvD/DEIB4vVy7mNgy8bo9KacNMHm3elW0mZW4JBnH 0Pkt8OagXE0= =H0ru -----END PGP SIGNATURE-----