Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3466-1 krb5

Säkerhetsbulletin från Debian

DSA-3466-1 krb5 -- säkerhetsuppdatering

Rapporterat den:

2016-02-04

Berörda paket:

krb5

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 813126, Fel 813127, Fel 813296.
I Mitres CVE-förteckning: CVE-2015-8629, CVE-2015-8630, CVE-2015-8631.

Ytterligare information:

Flera sårbarheter har upptäckts i krb5, MIT-implementationen av Kerberos. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-8629

  Man har upptäckt att en autentiserad angripare kan orsaka kadmind att läsa utanför allokerat minne genom att skicka en sträng utan en avslutande nollbyte. Informationsläckage är möjligt för en angripare med rättigheter att modifiera databasen.

• CVE-2015-8630

  Man har upptäckt att en autentiserad angripare med rättigheter att modifiera en huvudpost kan orsaka kadmind att dereferera en nullpekare genom att tillhandahålla ett nullpolicyvärde men inkludera KADM5_POLICY i masken.

• CVE-2015-8631

  Man har upptäckt att en autentiserad angripare kan få kadmind att läcka minne genom att tillhandahålla ett nullhuvudnamn i en förfrågan som använder en sådan. Genom att återupprepa dessa förfrågningar kan man eventuellt orsaka kadmind att förbruka allt tillgängligt minne.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.10.1+dfsg-5+deb7u7. Den gamla stabila utgåvan (Wheezy) påverkas inte av CVE-2015-8630.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.12.1+dfsg-19+deb8u2.

Vi rekommenderar att ni uppgraderar era krb5-paket.