Säkerhetsbulletin från Debian

DSA-3395-1 krb5 -- säkerhetsuppdatering

Rapporterat den:
2015-11-06
Berörda paket:
krb5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 803083, Fel 803084, Fel 803088.
I Mitres CVE-förteckning: CVE-2015-2695, CVE-2015-2696, CVE-2015-2697.
Ytterligare information:

Flera sårbarheter har upptäckts i krb5, MIT-implementationen av Kerberos. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2015-2695

    Man har upptäckt att applikationer som anropar gss_inquire_context() på en delvis-etablerad SPNEGO-kontext kan orsaka GSS-API-biblioteket att läsa från en pekare med hjälp av fel typ, vilket leder till processkrasch.

  • CVE-2015-2696

    Man har upptäckt att applikationer som anropar gss_inquire_context() på en delvis-etablerad IAKERB-kontext kan orsaka GSS-API-biblioteket att läsa från en pekare med hjälp av fel typ, vilket leder till processkrasch.

  • CVE-2015-2697

    Man har upptäckt att funktionen build_principal_va() felaktigt hanterar inputsträngar. En autentiserad angripare kan dra fördel av denna brist för att orsaka en KDC att krascha med hjälp av en TGS-förfrågan med ett stort realm-fält som börjar med en Null-byte.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.10.1+dfsg-5+deb7u4.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.12.1+dfsg-19+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 1.13.2+dfsg-3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.13.2+dfsg-3.

Vi rekommenderar att ni uppgraderar era krb5-paket.