• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-266-1 krb5 -- различные проблемы

Главная Специалистам База уязвимостей DSA-266-1 krb5 -- различные проблемы

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Обнаружено несколько уязвимых мест в krb5, реализации
MIT Kerberos.

Криптографическая слабость 4 версии протокола Kerberos позволяет
   нападающему использовать атаку на подбор текста, чтобы выдать себя
   за любой авторитетный источник. Другие уязвимые места реализации krb4,
   включённой в дистрибутив krb5 MIT, позволяют использовать атаку
   "вырезать и вставить" для изготовления билетов krb4 неавторизованных
   клиентов-авторитетных источников, если сервер krb4 использует
   ключи 3DES. Эти атаки могут подорвать всю инфраструктуру аутентификации
   на основе Kerberos сайта.
   Kerberos версии 5 не содержит этих уязвимостей. Сайты неуязвимы
   только если Kerberos v4 отключен полностью, включая отключение
   любых процедур преобразования krb5 в krb4.

Реализация Kerberos 5 MIT включает библиотеку RPC, взятую из
   SUNRPC. Эта реализация содержит код проверки длины, уязвимый к
   целочисленному переполнению, что может использоваться для вызова
   отказа в обслуживании или присвоения прав доступа к важной
   информации.
В коде обработки имени авторитетного источника в необычных
   ситуациях, таких как имена из нуля компонентов, имена из одного
   пустого компонента или имена, принадлежащие текущему домену,
   происходит переполнение или исчерпание буфера.


В этой версии пакета krb5 поведение по умолчанию изменено, и теперь
перекрёстная аутентификация Kerberos версии 4 не допускается. По
самой природе этой проблемы перекрёстная аутентификация в Kerberos
версии 4 не может быть сделана безопасной, и её использования следует
избегать. Появился новый параметр (-X) команд krb5kdc и krb524d,
позволяющий сайтам, которые не могут обойтись без использования перекрёстной
аутентификации, включить её. Однако требуются дополнительные "заплаты".

В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 1.2.4-5woody4.
Старый стабильный дистрибутив (potato) не содержит пакетов krb5.
В нестабильном дистрибутиве (sid) эта проблема будет
исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет krb5.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
s390x:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
m68k:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
i686:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
hppa:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
sparc:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
alpha:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
ia64:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
mips:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
noarch:
krb5-doc - 1.2.4-5woody4
mipsel:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
arm:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
Ссылки
http://www.debian.org/security/dsa-266/

Источник: CVE
Наименование: CVE-2003-0072
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0072

Источник: CVE
Наименование: CVE-2003-0138
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0138

Источник: CVE
Наименование: CVE-2003-0028
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0028

Источник: CVE
Наименование: CVE-2003-0082
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0082

Источник: CVE
Наименование: CVE-2003-0139
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0139