Bulletin d'alerte Debian

DLA-146-1 krb5 -- Mise à jour de sécurité pour LTS

Date du rapport :
7 février 2015
Paquets concernés :
krb5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-5352, CVE-2014-9421, CVE-2014-9422, CVE-2014-9423.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation du MIT de Kerberos :

  • CVE-2014-5352

    une gestion incorrecte de mémoire dans la bibliothèque libgssapi_krb5 pourrait avoir pour conséquence un déni de service ou l'exécution de code arbitraire ;

  • CVE-2014-9421

    une gestion incorrecte de mémoire dans le traitement de kadmind des données XDR pourrait avoir pour conséquence un déni de service ou l'exécution de code arbitraire ;

  • CVE-2014-9422

    un traitement incorrect des noms de commettant dans un serveur à deux composants pourrait avoir pour conséquence des attaques par usurpation d'identité ;

  • CVE-2014-9423

    une fuite d'informations dans la bibliothèque libgssrpc.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.8.3+dfsg-4squeeze9 de krb5.