Bulletin d'alerte Debian

DSA-3395-1 krb5 -- Mise à jour de sécurité

Date du rapport :
6 novembre 2015
Paquets concernés :
krb5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 803083, Bogue 803084, Bogue 803088.
Dans le dictionnaire CVE du Mitre : CVE-2015-2695, CVE-2015-2696, CVE-2015-2697.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation du MIT de Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

  • CVE-2015-2695

    Les applications qui appellent la fonction gss_inquire_context() dans un contexte SPNEGO partiellement établi peuvent faire en sorte que la bibliothèque GSS-API lise à partir d'un pointeur avec le mauvais type, menant au plantage du processus.

  • CVE-2015-2696

    Les applications qui appellent la fonction gss_inquire_context() dans un contexte IAKERB partiellement établi peuvent faire en sorte que la bibliothèque GSS-API lise à partir d'un pointeur avec le mauvais type, menant au plantage du processus.

  • CVE-2015-2697

    La fonction build_principal_va() traite incorrectement les chaînes d'entrée. Un attaquant authentifié peut tirer avantage de ce défaut pour provoquer le plantage de KDC grâce à une requête TGS avec un grand champ de domaine (realm) commençant par un octet null.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u4.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.12.1+dfsg-19+deb8u1.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.13.2+dfsg-3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.13.2+dfsg-3.

Nous vous recommandons de mettre à jour vos paquets krb5.