LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1265-1 krb5

Bulletin d'alerte Debian

DLA-1265-1 krb5 -- Mise à jour de sécurité pour LTS

Date du rapport :

31 janvier 2018

Paquets concernés :

krb5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 728845, Bogue 762479, Bogue 773226, Bogue 778647, Bogue 819468, Bogue 832572.
Dans le dictionnaire CVE du Mitre : CVE-2013-1418, CVE-2014-5351, CVE-2014-5353, CVE-2014-5355, CVE-2016-3119, CVE-2016-3120.

Plus de précisions :

Kerberos, un système pour authentifier les utilisateurs et les services sur un réseau, était affecté par plusieurs vulnérabilités. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2013-1418

  Kerberos permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage du démon) à l'aide d'une requête contrefaite lorsque de multiples domaines sont configurés.

• CVE-2014-5351

  Kerberos envoie d'anciennes clés dans une réponse à une requête -randkey -keepold. Cela permet à des utilisateurs distants authentifiés de contrefaire des tickets en tirant parti d'un accès d'administration.

• CVE-2014-5353

  Quand KDC utilise LDAP, il permet à des utilisateurs distants authentifiés de provoquer un déni de service (plantage du démon) à l'aide d'une requête LDAP réussie sans résultat, comme cela a été démontré en utilisant un type d'objet incorrect pour une politique de mot de passe.

• CVE-2014-5355

  Kerberos s'attend à ce qu'un champ de données krb5_read_message soit représenté par une chaîne finissant par un caractère « 0 ». Cela permet à des attaquants distants (1) de provoquer un déni de service (déréférencement de pointeur NULL) à l'aide d'une chaîne de version zéro octet ou (2) de provoquer un déni de service (lecture hors limites) en omettant le caractère « 0 ».

• CVE-2016-3119

  Kerberos permet à des utilisateurs distants authentifiés de provoquer un déni de service (déréférencement de pointeur NULL et plantage du démon) à l'aide d'une requête contrefaite pour modifier un nom principal.

• CVE-2016-3120

  Kerberos permet à des utilisateurs distants authentifiés de provoquer un déni de service (déréférencement de pointeur NULL et plantage du démon) à l'aide d'une requête S4U2Self.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u9.

Nous vous recommandons de mettre à jour vos paquets krb5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.