Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3912-1 heimdal

Säkerhetsbulletin från Debian

DSA-3912-1 heimdal -- säkerhetsuppdatering

Rapporterat den:

2017-07-16

Berörda paket:

heimdal

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 868208.
I Mitres CVE-förteckning: CVE-2017-11103.

Ytterligare information:

Jeffrey Altman, Viktor Dukhovni och Nicolas Williams rapporterade att Heimdal, en implementation av Kerberos 5 med målet att vara kompatibel med MIT Kerberos, litar på metadata tagen från den ickeautentiserade rentext (Ticket), istället för det autentiserade och krypterade KDC-svaret. En man-in-the-middle-angripare kan använda denna brist för att personifiera tjänster för klienten.

Se https://orpheus-lyre.info/ för detaljer.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 1.6~rc2+dfsg-9+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 7.1.0+dfsg-13+deb9u1.

För den instabila distributionen (Sid) har detta problem rättats i version 7.4.0.dfsg.1-1.

Vi rekommenderar att ni uppgraderar era heimdal-paket.