Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3912-1 heimdal

Debians sikkerhedsbulletin

DSA-3912-1 heimdal -- sikkerhedsopdatering

Rapporteret den:

16. jul 2017

Berørte pakker:

heimdal

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 868208.
I Mitres CVE-ordbog: CVE-2017-11103.

Yderligere oplysninger:

Jeffrey Altman, Viktor Dukhovni og Nicolas Williams rapporterede at Heimdal, en implementering af Kerberos 5, med det formål at være kompatibel med MIT Kerberos, stolede på metadata taget fra uautentificeret klartekst (Ticket), frem for det autentificerede og krypterede KDC-svar. En manden i midten-angriber kunne udnytte fejlen til over for klienter at udgive sig for at være tjenester.

Se https://orpheus-lyre.info/ for flere oplysninger.

I den gamle stabile distribution (jessie), er dette problem rettet i version 1.6~rc2+dfsg-9+deb8u1.

I den stabile distribution (stretch), er dette problem rettet i version 7.1.0+dfsg-13+deb9u1.

I den ustabile distribution (sid), er dette problem rettet i version 7.4.0.dfsg.1-1.

Vi anbefaler at du opgraderer dine heimdal-pakker.