Bulletin d'alerte Debian

DLA-2166-1 libpam-krb5 -- Mise à jour de sécurité pour LTS

Date du rapport :
1er avril 2020
Paquets concernés :
libpam-krb5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-10595.
Plus de précisions :

Le module PAM de krb5 (pam_krb5.so) contenait un dépassement de tampon pouvant provoquer une exécution de code à distance dans des situations impliquant des invites supplémentaires par une bibliothèque Kerberos. Cela pouvait dépasser la limite du tampon fourni par la bibliothèque Kerberos sous-jacente d’un seul octet « \0 » si un attaquant réagissait à une invite avec une réponse d’une longueur soigneusement choisie. L’effet pouvait se situer entre une corruption de pile et une corruption de tas selon la structure de la bibliothèque Kerberos sous-jacente, avec des effets inconnus mais possiblement une exécution de code. Cette méthode de code n’était pas utilisée pour une authentification normale, mais seulement lorsque la bibliothèque Kerberos réalisait des invites supplémentaires, comme avec PKINIT ou lors de l’utilisation de l’option no_prompt non standard de PAM.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 4.6-3+deb8u1.

Nous vous recommandons de mettre à jour vos paquets libpam-krb5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.