Debians sikkerhedsbulletin
DSA-3466-1 krb5 -- sikkerhedsopdatering
- Rapporteret den:
- 4. feb 2016
- Berørte pakker:
- krb5
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 813126, Fejl 813127, Fejl 813296.
I Mitres CVE-ordbog: CVE-2015-8629, CVE-2015-8630, CVE-2015-8631. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i krb5, MIT's implementering af Kerberos. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-8629
Man opdagede at en autentificeret angriber kunne få kadmind til at læse ud over slutningen af allokeret hukommelse, ved at sende en streng uden en afsluttende nulbyte. Informationslækage kan være mulig for en angriber med rettigheder til at ændre databasen.
- CVE-2015-8630
Man opdagede at en autentificeret angriber med rettigheder til at ændre en principal-post, kunne udvirke at kadmind derefererede en nullpointer ved at levere en nullpolicyværdi, men indeholdende KADM5_POLICY i masken.
- CVE-2015-8631
Man opdagede at en autentificeret angriber kunne få kadmind til at lække hukommelse, ved at levere et null-principalnavn i en forespørgsel, som anvender en sådan. Gentagelse af disse forespørgsler vil med tiden føre til at kadmind har opbrugt al tilgængelig hukommelse.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.10.1+dfsg-5+deb7u7. Den gamle stabile distribution (wheezy) er ikke påvirket af CVE-2015-8630.
I den stabile distribution (jessie), er disse problemer rettet i version 1.12.1+dfsg-19+deb8u2.
Vi anbefaler at du opgraderer dine krb5-pakker.
- CVE-2015-8629