Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
Kerberos - это система сетевой аутентификации, которая позволяет клиентам и серверам проводить процедуру аутентификации, используя симметричное шифрование и доверенного стороннего участника - Key Distribution Center (KDC).
Ошибки, связанные с целочисленным переполнением, обнаружены в MIT Kerberos Key Distribution Center (KDC) при расшифровывании текста, который был зашифрован с помощью алгоритмов Advanced Encryption Standard (AES) и ARCFOUR (RC4). Если удаленный клиент KDC сможет переслать специально сформированные зашифрованные тексты AES или RC4, то он сможет отказ в обслуживании центрального
KDC (аварийное завершение работы KDC из-за обработке специально сформированного текста) или выполнить произвольный код с привилегиями KDC (т.е. с привилегиями root).
(CVE-2009-4212)
Всем пользователям krb5 рекомендуется обновить программное обеспечение, чтобы избавиться от указанной проблемы. Необходимо перезапустить все службы, использующие библиотеки MIT Kerberos, чтобы изменения вступили в силу.
Ошибки, связанные с целочисленным переполнением, обнаружены в MIT Kerberos Key Distribution Center (KDC) при расшифровывании текста, который был зашифрован с помощью алгоритмов Advanced Encryption Standard (AES) и ARCFOUR (RC4). Если удаленный клиент KDC сможет переслать специально сформированные зашифрованные тексты AES или RC4, то он сможет отказ в обслуживании центрального
KDC (аварийное завершение работы KDC из-за обработке специально сформированного текста) или выполнить произвольный код с привилегиями KDC (т.е. с привилегиями root).
(CVE-2009-4212)
Всем пользователям krb5 рекомендуется обновить программное обеспечение, чтобы избавиться от указанной проблемы. Необходимо перезапустить все службы, использующие библиотеки MIT Kerberos, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0029.html
https://rhn.redhat.com/errata/RHSA-2010-0029.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0029.html
CVE (CVE-2009-4212): https://www.redhat.com/security/data/cve/CVE-2009-4212.html
BUGZILLA (545015): http://bugzilla.redhat.com/545015
Источник: CVE
Наименование: CVE-2009-4212
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4212
CVE (CVE-2009-4212): https://www.redhat.com/security/data/cve/CVE-2009-4212.html
BUGZILLA (545015): http://bugzilla.redhat.com/545015
Источник: CVE
Наименование: CVE-2009-4212
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4212
