LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-423-1 krb5

Bulletin d'alerte Debian

DLA-423-1 krb5 -- Mise à jour de sécurité pour LTS

Date du rapport :

22 février 2016

Paquets concernés :

krb5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 813126, Bogue 813296.
Dans le dictionnaire CVE du Mitre : CVE-2015-8629, CVE-2015-8631.

Plus de précisions :

• CVE-2015-8629

  Un attaquant authentifié peut amener kadmind à lire au-delà de la fin de la mémoire allouée en envoyant une chaîne sans un octet de fin nul. Une fuite d'informations peut être possible pour un attaquant ayant la permission de modifier la base de données.

• CVE-2015-8631

  Un attaquant authentifié peut amener kadmind à une fuite de mémoire en fournissant un nom de commettant nul dans une requête en utilisant un. La répétition de ces requêtes peut finalement amener kadmind à épuiser toute la mémoire disponible.