Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3395-1 krb5

Bulletin d'alerte Debian

DSA-3395-1 krb5 -- Mise à jour de sécurité

Date du rapport :

6 novembre 2015

Paquets concernés :

krb5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 803083, Bogue 803084, Bogue 803088.
Dans le dictionnaire CVE du Mitre : CVE-2015-2695, CVE-2015-2696, CVE-2015-2697.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation du MIT de Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

• CVE-2015-2695

  Les applications qui appellent la fonction gss_inquire_context() dans un contexte SPNEGO partiellement établi peuvent faire en sorte que la bibliothèque GSS-API lise à partir d'un pointeur avec le mauvais type, menant au plantage du processus.

• CVE-2015-2696

  Les applications qui appellent la fonction gss_inquire_context() dans un contexte IAKERB partiellement établi peuvent faire en sorte que la bibliothèque GSS-API lise à partir d'un pointeur avec le mauvais type, menant au plantage du processus.

• CVE-2015-2697

  La fonction build_principal_va() traite incorrectement les chaînes d'entrée. Un attaquant authentifié peut tirer avantage de ce défaut pour provoquer le plantage de KDC grâce à une requête TGS avec un grand champ de domaine (realm) commençant par un octet null.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u4.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.12.1+dfsg-19+deb8u1.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.13.2+dfsg-3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.13.2+dfsg-3.

Nous vous recommandons de mettre à jour vos paquets krb5.