Bulletin d'alerte Debian
DSA-3395-1 krb5 -- Mise à jour de sécurité
- Date du rapport :
- 6 novembre 2015
- Paquets concernés :
- krb5
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 803083, Bogue 803084, Bogue 803088.
Dans le dictionnaire CVE du Mitre : CVE-2015-2695, CVE-2015-2696, CVE-2015-2697. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation du MIT de Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :
- CVE-2015-2695
Les applications qui appellent la fonction gss_inquire_context() dans un contexte SPNEGO partiellement établi peuvent faire en sorte que la bibliothèque GSS-API lise à partir d'un pointeur avec le mauvais type, menant au plantage du processus.
- CVE-2015-2696
Les applications qui appellent la fonction gss_inquire_context() dans un contexte IAKERB partiellement établi peuvent faire en sorte que la bibliothèque GSS-API lise à partir d'un pointeur avec le mauvais type, menant au plantage du processus.
- CVE-2015-2697
La fonction build_principal_va() traite incorrectement les chaînes d'entrée. Un attaquant authentifié peut tirer avantage de ce défaut pour provoquer le plantage de KDC grâce à une requête TGS avec un grand champ de domaine (
realm
) commençant par un octet null.
Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u4.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.12.1+dfsg-19+deb8u1.
Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.13.2+dfsg-3.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.13.2+dfsg-3.
Nous vous recommandons de mettre à jour vos paquets krb5.
- CVE-2015-2695