Debian DLA-265-2：pykerberos 回归更新

high Nessus 插件 ID 84507

语言：

简介

远程 Debian 主机缺少安全更新。

描述

已发现原始补丁默认未禁用 KDC 验证支持，并更改了 checkPassowrd() 的签名。此更新修正此问题。

以下是原始公告的文本：

Martin Prpic 已向 Red Hat Bugzilla（Fedora 缺陷跟踪程序）报告 pykerberos 代码中存在中间人攻击的可能性。原始问题此前已在上游报告 [1]。
我们将报告的上游缺陷部分引用如下：

python-kerberos checkPassword() 方法在之前的版本中非常不安全。过去它执行（现在仍默认执行）kinit 命令 (AS-REQ) 以要求 KDC 提供给定用户主体的 TGT，并将其是否成功解释为指示密码是否正确。但是它未验证与其实际对话的 KDC 是否受信任：攻击者可直接回复，而不是由与其给予您的密码相匹配的 AS-REP 进行回复。

想象一下，您正在使用 LDAP 认证（而不是 Kerberos）验证密码：您一定会使用 TLS 配合 LDAP 以确保正在与真实可信任的 LDAP 服务器对话。此处的要求是一样的。kinit 不是密码验证服务。

通常的做法是使用与用户密码一同取得的 TGT，然后取得校验器拥有其密钥的主体的票证（例如处理用户名/密码表单登录的 Web 服务器可获得其自己的 HTTP/host@REALM 主体的票证），然后校验器才能进行验证。请注意，这要求校验器具有自身的 Kerberos 身份，这是 Kerberos 的对称性所强制要求的（而在 LDAP 的情况中，使用公钥密码允许匿名验证）。

通过此 pykerberos 程序包版本，为 checkPassword() 方法引入了一个新的选项。当使用 checkPassword() 并将验证设置为 True 时，将执行 KDC 验证。为了使其生效，您需要提供包含有您想要使用的服务的服务主体密钥的 krb5.keytab 文件。

由于 /etc 中的默认 krb5.keytab 文件通常无法被非根用户/进程所访问，您必须确保向使用 KRB5_KTNAME 环境变量的应用程序提供包含正确主体密钥的自定义 krb5.keytab 文件。

注意：在 Debian squeeze(-lts) 中，默认禁用 KDC 验证支持，以防中断现有的设置。

[1] https://www.calendarserver.org/ticket/833

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。