Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • kadmind versions krb5-1.4 à krb5-1.4.4 ;
  • kadmind versions krb5-1.5 à krb5-1.5.1 ;
  • toute application tiers utilisant les bibliothèques GSS-API et RPC incluses dans les versions krb5-1.4 à krb5-1.4.4 et krb5-1.5 à krb5-1.5.1.

Les versions de kadmind antérieures à krb5-1.4 ne sont pas affectées.

Résumé

Deux vulnérabilités découvertes dans kadmind permettent l'exécution de code arbitraire à distance.

Description

Deux vulnérabilités ont été découvertes dans kadmind.

La première est présente dans la partie serveur de la bibliothèque RPC. La seconde résulte de problèmes de gestion de la mémoire dans l'interface mechglue de la bibliothèque GSS-API. Un utilisateur malintentionné peut exploiter l'une de ces vulnérabilités, sans authentification préalable, pour exécuter du code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation