VULHUB ™

Kerberos是一种使用广泛的采用强壮的加密来验证客户端和服务器端的网络协议。 Kerberos 4协议加密存在多个设计错误，远程攻击者利用这些漏洞可导致控制整个Kereros验证结构系统。 在Kerberos 4协议实现中存在多个加密漏洞，允许攻击者在Kerberos域中扮演任何用户和通过Kerberos域获得任何权限。另外，Krb4实现存在另外一个漏洞，如果三重-DES密钥用于krb4服务，允许使用拷贝和粘贴攻击来伪造krb4 tickets，搅乱整个Kerberos验证结构。 Kerberos 4 tickets实现既不包括加密数据密码HASH，随机填补，也没有随机初始矢量，因此如果攻击者可以让适当的原文用于Kerberos服务密钥上，就可以使攻击者伪造Ticket。一般攻击者不能控制Ticket中的原文，因此这个加密漏洞较难利用。

Kerberos是一种使用广泛的采用强壮的加密来验证客户端和服务器端的网络协议。 Kerberos 4协议加密存在多个设计错误，远程攻击者利用这些漏洞可导致控制整个Kereros验证结构系统。 在Kerberos 4协议实现中存在多个加密漏洞，允许攻击者在Kerberos域中扮演任何用户和通过Kerberos域获得任何权限。另外，Krb4实现存在另外一个漏洞，如果三重-DES密钥用于krb4服务，允许使用拷贝和粘贴攻击来伪造krb4 tickets，搅乱整个Kerberos验证结构。 Kerberos 4 tickets实现既不包括加密数据密码HASH，随机填补，也没有随机初始矢量，因此如果攻击者可以让适当的原文用于Kerberos服务密钥上，就可以使攻击者伪造Ticket。一般攻击者不能控制Ticket中的原文，因此这个加密漏洞较难利用。