Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3466-1 krb5

Bulletin d'alerte Debian

DSA-3466-1 krb5 -- Mise à jour de sécurité

Date du rapport :

4 février 2016

Paquets concernés :

krb5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 813126, Bogue 813127, Bogue 813296.
Dans le dictionnaire CVE du Mitre : CVE-2015-8629, CVE-2015-8630, CVE-2015-8631.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation du MIT de Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-8629

  Un attaquant authentifié peut amener kadmind à lire au-delà de la fin de la mémoire allouée en envoyant une chaîne sans terminaison d'octet vide. Une fuite d'information peut être possible pour un attaquant avec le droit de modifier la base de données.

• CVE-2015-8630

  Un attaquant authentifié avec le droit de modifier une entrée principale peut amener kadmind à déréférencer un pointeur NULL en fournissant une valeur nulle de politique mais incluant KADM5_POLICY dans le masque.

• CVE-2015-8631

  Un attaquant authentifié peut forcer kadmind à une fuite de mémoire en fournissant un nom principal vide dans une requête qui en utilise un. La répétition de ces requêtes pourra éventuellement amener kadmind à épuiser toute la mémoire disponible.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u7. La distribution oldstable (Wheezy) n'est pas affectée par CVE-2015-8630.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.12.1+dfsg-19+deb8u2.

Nous vous recommandons de mettre à jour vos paquets krb5.