LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1643-1 krb5

Bulletin d'alerte Debian

DLA-1643-1 krb5 -- Mise à jour de sécurité pour LTS

Date du rapport :

25 janvier 2019

Paquets concernés :

krb5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-5729, CVE-2018-5730, CVE-2018-20217.

Plus de précisions :

Krb5, une implémentation de Kerberos du MIT, possédait plusieurs défauts dans la vérification du DN de LDAP. Cela pouvait être utilisé pour contourner une vérification d’un porte-conteneur de DN en fournissant des paramètres spéciaux à certains appels. En outre, un attaquant pourrait planter le KDC par des requêtes S4U2Self.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.12.1+dfsg-19+deb8u5.

Nous vous recommandons de mettre à jour vos paquets krb5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.