Um defeito de criptografia na versão 4 do protocolo Kerberos permite que um atacante use um ataque de texto-plano selecionado para imitar qualquer principal num domínio. Defeitos adicionais de criptografia na implementação do krb4 incluídas na distribuição MIT krb5 permitem o uso de ataques de cortar-e-colar para fabricar bilhetes krb4 para clientes principal não autorizados se chaves três-DES forem usadas para registrar serviços krb4. Esses ataques podem subverter toda a infra-estrutura de autenticação Kerberos de um site.
Esta versão do pacote heimdal muda o comportamento padrão e rejeita autenticação através de domínio para o Kerberos versão 4. Devido a natureza fundamental do problema, a autenticação através de domínio no kerberos versão 4 não pode ser feita de forma segura e os sites devem evitar o seu uso. Uma nova opção (--kerberos4-cross-realm) é fornecida ao comando kdc para re-habilitar a autenticação através de domínio da versão 4 para esses sites, que devem usar essa funcionalidade mas, desejando as outras correções de segurança.
Na atual distribuição estável (woody), este problema foi corrigido na versão 0.4e-7.woody.8.
A antiga distribuição estável (potato) não é afetada por este problema, uma vez que este não é compilado com suporte a kerberos 4.
Na distribuição instável (sid) este problema foi corrigido na versão 0.5.2-1.
Nós recomendamos que você atualize seus pacotes heimdal.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.
Checksums MD5 dos arquivos listados estão disponíveis no alerta revisado.