Vulnerabilidad en FreeIPA (CVE-2024-2698)

Se encontró una vulnerabilidad en FreeIPA en la que a la implementación inicial de MS-SFU por parte de MIT Kerberos le faltaba una condición para otorgar el indicador "reenviable" en los tickets S4U2Self. Para corregir este error fue necesario agregar un caso especial para la función check_allowed_to_delegate(): si el argumento del servicio de destino es NULL, entonces significa que el KDC está investigando reglas generales de delegación restringida y no verificando una solicitud S4U2Proxy específica. En FreeIPA 4.11.0, el comportamiento de ipadb_match_acl() se modificó para que coincida con los cambios del MIT Kerberos 1.20. Sin embargo, un error que resulta en este mecanismo se aplica en los casos en los que el argumento del servicio de destino está establecido Y donde no está establecido. Esto da como resultado que las solicitudes S4U2Proxy se acepten independientemente de si existe o no una regla de delegación de servicios coincidente.