Информация по безопасности / 2016 / Информация о безопасности -- DSA-3466-1 krb5

Рекомендация Debian по безопасности

DSA-3466-1 krb5 -- обновление безопасности

Дата сообщения:

04.02.2016

Затронутые пакеты:

krb5

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 813126, Ошибка 813127, Ошибка 813296.
В каталоге Mitre CVE: CVE-2015-8629, CVE-2015-8630, CVE-2015-8631.

Более подробная информация:

В krb5, MIT-реализации Kerberos, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-8629

  Было обнаружено, что аутентифицированный злоумышленник может использовать kadmind для выполнения чтения за пределами выделенного буфера памяти путём отправки строки без завершающего нулевого байта. Злоумышленник может вызвать утечку информации при условии, что он имеет право на изменение базы данных.

• CVE-2015-8630

  Было обнаружено, что аутентифицированный злоумышленник с правом на изменение главной записи может вызвать разыменование null-указателя в kadmind, передав пустое значение политики, но добавив в маску KADM5_POLICY.

• CVE-2015-8631

  Было обнаружено, что аутентифицированный злоумышленник может вызвать утечку памяти в kadmind, передав пустое имя главной записи в запросе, в котором это имя используется. Повторение этих запросов приводит к тому, что kadmind потребляет всю доступную память.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.10.1+dfsg-5+deb7u7. Предыдущий стабильный выпуск (wheezy) не подвержен CVE-2015-8630.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.12.1+dfsg-19+deb8u2.

Рекомендуется обновить пакеты krb5.