Informations de sécurité / 2019 / Informations sur la sécurité -- DSA-4455-1 heimdal

Bulletin d'alerte Debian

DSA-4455-1 heimdal -- Mise à jour de sécurité

Date du rapport :

3 juin 2019

Paquets concernés :

heimdal

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 928966, Bogue 929064.
Dans le dictionnaire CVE du Mitre : CVE-2018-16860, CVE-2019-12098.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Heimdal, une implémentation de Kerberos 5 qui vise à être compatible avec la version Kerberos du MIT.

• CVE-2018-16860

  Isaac Boukris et Andrew Bartlett ont découvert que Heimdal était vulnérable à des attaques de type « homme du milieu » provoquées par une validation incomplète des sommes de contrôle. Vous trouverez des détails sur ce problème dans l'annonce de Samba à l'adresse https://www.samba.org/samba/security/CVE-2018-16860.html.

• CVE-2019-12098

  Un échec de vérification de l'échange de clés PA-PKINIT-KX côté client pourrait permettre de réaliser une attaque de type « homme du milieu ».

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.1.0+dfsg-13+deb9u3.

Nous vous recommandons de mettre à jour vos paquets heimdal.

Pour disposer d'un état détaillé sur la sécurité de heimdal, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/heimdal.