Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

MIT Kerberos 5 version krb5-1.4.1 et versions antérieures.

Résumé

Plusieurs vulnérabilités dans MIT Kerberos 5 permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.

Description

Kerberos est un protocole d'authentification.
Plusieurs vulnérabilités ont été découvertes dans MIT Kerberos 5 :

  • Une vulnérablité au niveau du KDC (Key Distribution Center) dans la gestion de la mémoire lors de la réception d'un paquet TCP habilement construit (référence CVE CAN-2005-1174) ;
  • une vulnérablité au niveau du KDC (Key Distribution Center) de type débordement de mémoire lors de la réception d'un paquet TCP ou UDP habilement construit (référence CVE CAN-2005-1175) ;
  • une vulnérabilité dans la gestion de la mémoire par la fonction krb5_recvauth() (référence CVE CAN-2005-1689).

Solution

La future version krb5-1.4.2 corrigera ces vulnérabilités.

En attendant, appliquer les correctifs pour la version krb5-1.4.1 :

MIT Kerberos 5 peut se télécharger à l'adresse suivante :

http://web.mit.edu/kerberos/dist/index.html

Dans tous les cas, se référer au bulletin de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.

Documentation