Debians sikkerhedsbulletin

DSA-2379-1 krb5 -- flere sårbarheder

Rapporteret den:
4. jan 2012
Berørte pakker:
krb5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-1528, CVE-2011-1529.
Yderligere oplysninger:

Man opdagede, at Key Distribution Center (KDC) i Kerberos 5 gik ned når der blev behandlet visse fabrikerede forespørgsler:

  • CVE-2011-1528

    Når LDAP-backend'en blev anvendt, kunne fjernbrugere forårsage at KDC-dæmonen gik ned og et lammelsesangreb (denial of servie).

  • CVE-2011-1529

    Når LDAP- eller Berkeley DB-backend'en blev anvendt, kunne fjernbrugere forårsage en NULL-pointerdereference i KDC-dæmonen og et lammelsesangreb.

Den gamle stabile distribution (lenny) er ikke påvirket af disse problems.

I den stabile distribution (squeeze), er disse problemer rettet i version 1.8.3+dfsg-4squeeze5.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 1.10+dfsg~alpha1-1.

Vi anbefaler at du opgraderer dine krb5-pakker.