Рекомендация Debian по безопасности

DLA-340-1 krb5 -- обновление безопасности LTS

Дата сообщения:
07.11.2015
Затронутые пакеты:
krb5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-2695, CVE-2015-2697.
Более подробная информация:

В krb5, реализации Kerberos от MIT, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-2695

    Было обнаружено, что приложения, вызывающие gss_inquire_context() на частично установленном контексте SPNEGO, могут приводить к тому, что библиотека GSS-API может выполнить чтение из указателя, используя неправильный тип, что приводит к аварийной остановке процесса.

  • CVE-2015-2697

    Было обнаружено, что функция build_principal_va() неправильно обрабатывает входные строки. Аутентифицированный злоумышленник может использовать эту уязвимость для вызова аварийной остановки KDC, используя запрос TGS с большим полем realm, начинающимся с null-байта.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.8.3+dfsg-4squeeze10.

Рекомендуется обновить пакеты krb5.