Flere fjernudnytbare sårbarheder er opdaget i kdc-komponenten i krb5, et system til autentificering af brugere og tjenester på et netværk. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
En ikke-autentificeret fjernangriber kunne få en krb4-aktiveret KDC til at gå ned, udstille oplysninger eller udføre vilkårlig kode. En succesrig udnyttelse af denne sårbarhed kunne kompromittere Kerberos-nøgledatabasen og værtssikkerhed på KDC-værten.
En ikke-autentificeret fjernangriber kunne få en krb4-aktiveret KDC til at udstille oplysninger. Det er teoretisk muligt at de udstillede oplysninger kan indeholde hemmelige nøgledata på visse platforme.
En ikke-autentificeret fjernangriber kunne forårsage hukommelseskorruption i processen kadmind, hvilket sandsynligvis vil få kadmind til at gå ned, medførende et lammelsesangreb (denial of service). Det er om ikke andet teoretisk muligt for en sådan korruption at medføre databasekorruption eller udførelse af vilkårlig kode, selv om vi ikke har en sådan udnyttelse og ikke har kendskab til at nogen sådanne udnyttelser anvendes. I versioner af MIT Kerberos leveret med Debian, kan denne fejl kun udløses i opsætninger der tillader store antal åbne fildesciptorer i en proces.
I den gamle stabile distribution (sarge), er disse problemer rettet i version krb5 1.3.6-2sarge6.
I den stabile distribution (etch), er disse problemer rettet i version 1.4.4-7etch5.
Vi anbefaler at du opgraderer dine krb5-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.