Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
krb5-admin-server
(any)
krb5-clients
(any)
krb5-doc
(any)
krb5-ftpd
(any)
krb5-kdc
(any)
krb5-rsh-server
(any)
krb5-telnetd
(any)
krb5-user
(any)
libkadm55
(any)
libkrb53
(any)
libkrb5-dev
(any)
Описание
Обнаружено несколько уязвимых мест в krb5, реализации
MIT Kerberos.
Криптографическая слабость 4 версии протокола Kerberos позволяет
нападающему использовать атаку на подбор текста, чтобы выдать себя
за любой авторитетный источник. Другие уязвимые места реализации krb4,
включённой в дистрибутив krb5 MIT, позволяют использовать атаку
"вырезать и вставить" для изготовления билетов krb4 неавторизованных
клиентов-авторитетных источников, если сервер krb4 использует
ключи 3DES. Эти атаки могут подорвать всю инфраструктуру аутентификации
на основе Kerberos сайта.
Kerberos версии 5 не содержит этих уязвимостей. Сайты неуязвимы
только если Kerberos v4 отключен полностью, включая отключение
любых процедур преобразования krb5 в krb4.
Реализация Kerberos 5 MIT включает библиотеку RPC, взятую из
SUNRPC. Эта реализация содержит код проверки длины, уязвимый к
целочисленному переполнению, что может использоваться для вызова
отказа в обслуживании или присвоения прав доступа к важной
информации.
В коде обработки имени авторитетного источника в необычных
ситуациях, таких как имена из нуля компонентов, имена из одного
пустого компонента или имена, принадлежащие текущему домену,
происходит переполнение или исчерпание буфера.
В этой версии пакета krb5 поведение по умолчанию изменено, и теперь
перекрёстная аутентификация Kerberos версии 4 не допускается. По
самой природе этой проблемы перекрёстная аутентификация в Kerberos
версии 4 не может быть сделана безопасной, и её использования следует
избегать. Появился новый параметр (-X) команд krb5kdc и krb524d,
позволяющий сайтам, которые не могут обойтись без использования перекрёстной
аутентификации, включить её. Однако требуются дополнительные "заплаты".
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 1.2.4-5woody4.
Старый стабильный дистрибутив (potato) не содержит пакетов krb5.
В нестабильном дистрибутиве (sid) эта проблема будет
исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет krb5.
MIT Kerberos.
Криптографическая слабость 4 версии протокола Kerberos позволяет
нападающему использовать атаку на подбор текста, чтобы выдать себя
за любой авторитетный источник. Другие уязвимые места реализации krb4,
включённой в дистрибутив krb5 MIT, позволяют использовать атаку
"вырезать и вставить" для изготовления билетов krb4 неавторизованных
клиентов-авторитетных источников, если сервер krb4 использует
ключи 3DES. Эти атаки могут подорвать всю инфраструктуру аутентификации
на основе Kerberos сайта.
Kerberos версии 5 не содержит этих уязвимостей. Сайты неуязвимы
только если Kerberos v4 отключен полностью, включая отключение
любых процедур преобразования krb5 в krb4.
Реализация Kerberos 5 MIT включает библиотеку RPC, взятую из
SUNRPC. Эта реализация содержит код проверки длины, уязвимый к
целочисленному переполнению, что может использоваться для вызова
отказа в обслуживании или присвоения прав доступа к важной
информации.
В коде обработки имени авторитетного источника в необычных
ситуациях, таких как имена из нуля компонентов, имена из одного
пустого компонента или имена, принадлежащие текущему домену,
происходит переполнение или исчерпание буфера.
В этой версии пакета krb5 поведение по умолчанию изменено, и теперь
перекрёстная аутентификация Kerberos версии 4 не допускается. По
самой природе этой проблемы перекрёстная аутентификация в Kerberos
версии 4 не может быть сделана безопасной, и её использования следует
избегать. Появился новый параметр (-X) команд krb5kdc и krb524d,
позволяющий сайтам, которые не могут обойтись без использования перекрёстной
аутентификации, включить её. Однако требуются дополнительные "заплаты".
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 1.2.4-5woody4.
Старый стабильный дистрибутив (potato) не содержит пакетов krb5.
В нестабильном дистрибутиве (sid) эта проблема будет
исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет krb5.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
s390x:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
m68k:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
i686:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
hppa:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
sparc:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
alpha:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
ia64:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
mips:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
noarch:
krb5-doc - 1.2.4-5woody4
mipsel:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
arm:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
Debian GNU/Linux 3.0:
ppc:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
s390x:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
m68k:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
i686:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
hppa:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
sparc:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
alpha:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
ia64:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
mips:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
noarch:
krb5-doc - 1.2.4-5woody4
mipsel:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
arm:
krb5-admin-server - 1.2.4-5woody4
krb5-clients - 1.2.4-5woody4
krb5-ftpd - 1.2.4-5woody4
krb5-kdc - 1.2.4-5woody4
krb5-rsh-server - 1.2.4-5woody4
krb5-telnetd - 1.2.4-5woody4
krb5-user - 1.2.4-5woody4
libkadm55 - 1.2.4-5woody4
libkrb5-dev - 1.2.4-5woody4
libkrb53 - 1.2.4-5woody4
Ссылки
http://www.debian.org/security/dsa-266/
Источник: CVE
Наименование: CVE-2003-0072
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0072
Источник: CVE
Наименование: CVE-2003-0138
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0138
Источник: CVE
Наименование: CVE-2003-0028
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0028
Источник: CVE
Наименование: CVE-2003-0082
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0082
Источник: CVE
Наименование: CVE-2003-0139
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0139
Источник: CVE
Наименование: CVE-2003-0072
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0072
Источник: CVE
Наименование: CVE-2003-0138
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0138
Источник: CVE
Наименование: CVE-2003-0028
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0028
Источник: CVE
Наименование: CVE-2003-0082
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0082
Источник: CVE
Наименование: CVE-2003-0139
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0139