Bulletin d'alerte Debian

DLA-340-1 krb5 -- Mise à jour de sécurité pour LTS

Date du rapport :
7 novembre 2015
Paquets concernés :
krb5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-2695, CVE-2015-2697.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation du MIT de Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

  • CVE-2015-2695

    Les applications qui appellent la fonction gss_inquire_context() dans un contexte SPNEGO partiellement établi peuvent faire en sorte que la bibliothèque GSS-API lise à partir d'un pointeur avec le mauvais type, menant au plantage du processus.

  • CVE-2015-2697

    La fonction build_principal_va() traite incorrectement les chaînes d'entrée. Un attaquant authentifié peut tirer avantage de ce défaut pour provoquer le plantage de KDC grâce à une requête TGS avec un grand champ de domaine (realm) commençant par un octet null.

Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.8.3+dfsg-4squeeze10.

Nous vous recommandons de mettre à jour vos paquets krb5.