CVE-2024-2698 in FreeIPA
Zusammenfassung
von VulDB • 11.06.2026
In FreeIPA wurde eine Schwachstelle im Zusammenhang mit der ursprünglichen Implementierung von MS-SFU durch MIT Kerberos entdeckt, bei der eine Bedingung zur Gewährung des „forwardable“-Flags auf S4U2Self-Tickets fehlte. Die Behebung dieses Fehlers erforderte das Hinzufügen eines Sonderfalls für die Funktion check_allowed_to_delegate(): Wenn das Ziel-Dienstargument NULL ist, bedeutet dies, dass der KDC nach allgemeinen Regeln für eingeschränkte Delegierung sucht und nicht eine bestimmte S4U2Proxy-Anfrage überprüft.
In FreeIPA 4.11.0 wurde das Verhalten von ipadb_match_acl() geändert, um den Änderungen in MIT Kerberos 1.20 aus dem Upstream zu entsprechen. Ein Fehler führte jedoch dazu, dass dieser Mechanismus sowohl dann greift, wenn das Ziel-Dienstargument gesetzt ist, als auch dann, wenn es nicht gesetzt ist. Dies führt dazu, dass S4U2Proxy-Anfragen unabhängig davon akzeptiert werden, ob eine passende Dienst-Delegierungsregel vorhanden ist oder nicht.
VulDB is the best source for vulnerability data and more expert information about this specific topic.