Aviso de seguridad de Debian
DSA-4455-1 heimdal -- actualización de seguridad
- Fecha del informe:
- 3 de jun de 2019
- Paquetes afectados:
- heimdal
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 928966, error 929064.
En el diccionario CVE de Mitre: CVE-2018-16860, CVE-2019-12098. - Información adicional:
-
Se descubrieron varias vulnerabilidades en Heimdal, una implementación de Kerberos 5 que aspira a ser compatible con MIT Kerberos.
- CVE-2018-16860
Isaac Boukris y Andrew Bartlett descubrieron que Heimdal era propenso a ataques por intermediario («man-in-the-middle») provocados por una comprobación incompleta de las sumas de validación («checksum»). En el aviso siguiente de Samba se pueden encontrar detalles del problema: https://www.samba.org/samba/security/CVE-2018-16860.html.
- CVE-2019-12098
Se descubrió que la ausencia de verificación de la clave de intercambio PA-PKINIT-KX del lado cliente podría permitir que se llevara a cabo un ataque por intermediario («man-in-the-middle»).
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 7.1.0+dfsg-13+deb9u3.
Le recomendamos que actualice los paquetes de heimdal.
Para información detallada sobre el estado de seguridad de heimdal, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/heimdal
- CVE-2018-16860