Risque
- Exécution de code arbitraire
Systèmes affectés
MIT Kerberos 5 version krb5-1.3.5 et antérieures.
Description
Kerberos est un protocole d'authentification.
Une vulnérabilité de type débordement de mémoire est présente dans une routine de gestion de l'historique des mots-de-passe incluse dans la bibliothèque libkadm5srv.
Un utilisateur mal intentionné peut, après s'être préalablement authentifié, exploiter cette vulnérabilité pour exécuter du code arbitraire sur le serveur de clefs (KDC) vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.
Documentation
- Bulletin de sécurité MIT krb5 2004-004 http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2004-004-pwhist.txt
- Bulletin de sécurité FreeBSD pour krb5 du 21 décembre 2004 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA 200501-05 du 05 janvier 2005 : http://www.gentoo.org/security/en/glsa/glsa-200501-05.xml
- Bulletin de sécurité Mandrake MDKSA-2004:156 du 22 décembre 2004 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:156
- Bulletin de sécurité RedHat RHSA-2005-012 du 19 janvier 2005 : http://rhn.redhat.com/errata/RHSA-2005-012.html
- Bulletin de sécurité RedHat RHSA-2005-045 du 15 février 2005 : http://rhn.redhat.com/errata/RHSA-2005-045.html
