Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3912-1 heimdal

Bulletin d'alerte Debian

DSA-3912-1 heimdal -- Mise à jour de sécurité

Date du rapport :

16 juillet 2017

Paquets concernés :

heimdal

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 868208.
Dans le dictionnaire CVE du Mitre : CVE-2017-11103.

Plus de précisions :

Jeffrey Altman, Viktor Dukhovni et Nicolas Williams ont signalé que Heimdal, une implémentation de Kerberos 5 qui vise à être compatible avec la version Kerberos du MIT, fait confiance aux métadonnées prises du texte en clair non authentifié (Ticket), plutôt qu'à la réponse KDC authentifiée et chiffrée. Un attaquant de type « homme du milieu » peut utiliser ce défaut pour se faire passer pour des services auprès du client.

Voir https://orpheus-lyre.info/ pour plus de détails.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 1.6~rc2+dfsg-9+deb8u1.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 7.1.0+dfsg-13+deb9u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.4.0.dfsg.1-1.

Nous vous recommandons de mettre à jour vos paquets heimdal.