Una debilidad en el cifrado en la versión 4 del protocolo Kerberos permitía a un atacante usar un ataque de texto plano elegido para no personificar ningún principal en un dominio. Una debilidad adicional en el cifrado en la implementación krb4 permitía el uso de ataques de copiar y pegar para fabricar tickets krb4 para clientes principales no autorizados si se usaban claves DES triples en los servicios de claves de krb4. Estos ataques podían comprometer la infraestructura de autentificación al completo de un sitio con Kerberos.
Esta versión del paquete heimdal cambia el comportamiento predeterminado y desactiva la autentificación cross-realm para Kerveros versión 4. Debido a la naturaleza fundamental del problema, la autentificación cross-realm en Kerberos versión 4 no se puede asegurar y los sitios debería evitar su uso. Se proporciona una opción nueva (--kerberos4-cross-realm) para que el comando kdc reactive la autentificación cross-realm en la versión 4 para los sitios que deban usar esta funcionalidad pero deseen las otras correcciones de seguridad.
Para la distribución estable (woody), este problema se ha corregido en la versión 0.4e-7.woody.8.
La distribución estable anterior (potato) no se ve afectada por este problema porque no se compilaba con kerberos 4.
Para la distribución inestable (sid), este problema se ha corregido en la versión 0.5.2-1.
Le recomendamos que actualice los paquetes de heimdal inmediatamente.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.