Информация по безопасности / 2017 / Информация о безопасности -- DSA-3912-1 heimdal

Рекомендация Debian по безопасности

DSA-3912-1 heimdal -- обновление безопасности

Дата сообщения:

16.07.2017

Затронутые пакеты:

heimdal

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 868208.
В каталоге Mitre CVE: CVE-2017-11103.

Более подробная информация:

Джеффри Олтмен, Виктор Духовны и Николас Уильямс сообщили, что Heimdal, реализация Kerberos 5, нацеленная на совместимость с MIT Kerberos, доверяет метаданным, полученным из неаутентифицированного открытого текста (Ticket), а не аутентифицированному и зашифрованному KDC-ответу. Злоумышленник, использующий принцип человек-в-середине, может использовать эту уязвимость для подделки служб, к которым обращается клиент.

Подробности см. на сайте https://orpheus-lyre.info/.

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 1.6~rc2+dfsg-9+deb8u1.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 7.1.0+dfsg-13+deb9u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 7.4.0.dfsg.1-1.

Рекомендуется обновить пакеты heimdal.