Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3153-1 krb5

Bulletin d'alerte Debian

DSA-3153-1 krb5 -- Mise à jour de sécurité

Date du rapport :

3 février 2015

Paquets concernés :

krb5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-5352, CVE-2014-9421, CVE-2014-9422, CVE-2014-9423.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation du MIT de Kerberos :

• CVE-2014-5352

  une gestion incorrecte de mémoire dans la bibliothèque libgssapi_krb5 pourrait avoir pour conséquence un déni de service ou l'exécution de code arbitraire ;

• CVE-2014-9421

  une gestion incorrecte de mémoire dans le traitement de kadmind des données XDR pourrait avoir pour conséquence un déni de service ou l'exécution de code arbitraire ;

• CVE-2014-9422

  un traitement incorrect des noms de principal dans un serveur à deux composants pourrait avoir pour conséquence des attaques par usurpation d'identité ;

• CVE-2014-9423

  une fuite d'informations dans la bibliothèque libgssrpc ;

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.12.1+dfsg-17.

Nous vous recommandons de mettre à jour vos paquets krb5.