CVE-2024-2698

FreeIPA versão 4.11.0

Foi encontrada uma vulnerabilidade no FreeIPA relacionada à implementação inicial do MS-SFU pelo MIT Kerberos, na qual faltava uma condição para conceder o sinalizador “forwardable” em tickets S4U2Self. Esse problema resultou de um erro na função check allowed to delegate(), onde era necessário um caso especial para lidar com o argumento do serviço de destino sendo NULL, indicando que o KDC está verificando regras gerais de delegação restrita. No FreeIPA 4.11.0, o comportamento de ipadb match acl() foi modificado para corresponder às alterações do MIT Kerberos 1.20 upstream, mas um erro fez com que esse mecanismo fosse aplicado em casos em que o argumento do serviço de destino está tanto definido quanto não definido, levando à aceitação de solicitações S4U2Proxy independentemente da existência de uma regra de delegação de serviço correspondente.

Para a versão 4.11.0 do FreeIPA, considere adicionar um caso especial para a função check allowed to delegate() a fim de lidar corretamente com o argumento do serviço de destino sendo NULL, garantindo que as solicitações S4U2Proxy sejam aceitas apenas quando houver uma regra de delegação de serviço correspondente. Como solução alternativa temporária, considere restringir o uso da função ipadb match acl() para minimizar o risco de exploração até que um patch esteja disponível.