Kerberos プロトコルのバージョン 4 には暗号化に脆弱性があり、 攻撃者は選択平文攻撃を使ってレルム内のいかなるプリンシパルにも なりすますことができます。 krb4 の実装にはさらなる暗号化の弱点があり、triple-DES 鍵が krb4 の鍵の 扱いに使用されている場合、カットアンドペースト攻撃によって、 認証されていないクライアントプリンシパルの krb4 チケットを 偽造することができます。 これらの攻撃により、サイト内のすべての Kerberos 認証基盤を破壊することができます。
このバージョンの heimdal パッケージは、デフォルトの挙動を変更したり、 Kerberos バージョン 4 のためのクロスレルム認証を無効にします。 この問題の基本的な性質により、Kerberos バージョン 4 における クロスレルム認証は安全に行われず、サイトはその使用を避ける必要があります。 新しいオプション (--kerberos4-cross-realm) が kdc コマンドに提供されており、 このオプションによって、この機能を使用する必要がありつつも他のセキュリティ 修正を使用したいサイトのためにバージョン 4 のクロスレルム認証を 再度有効化することができます。
現安定版 (stable)(woody) では、この問題はバージョン 0.4e-7.woody.8 で修正されています。
旧安定版 (potato) は、kerberos 4 に向けてコンパイルされてはいないので、 この問題の影響は受けません。
不安定版 (unstable)(sid) では、この問題はバージョン 0.5.2-1 で修正されています。
早急に heimdal パッケージをアップグレードすることをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。
一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。