{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P><SPAN class=\"textit\">Kerberos 5.x</SPAN>.</P>  <P><BR>  <BR></P>  <P>Il n'est pas exclu que des produits tiers, utilisant  <SPAN class=\"textit\">Kerberos</SPAN>, soient affect\u00e9s.</P>","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans Kerberos :\n\n-   une vuln\u00e9rabilit\u00e9 du d\u00e9mon Telnet (telnetd) permet de se connecter\n    avec un compte utilisateur quelconque. Si la configuration du d\u00e9mon\n    exige l'authentification pr\u00e9alable, alors l'exploitation de cette\n    vuln\u00e9rabilit\u00e9 n'est possible que pour les utilisateurs authentifi\u00e9s.\n-   une vuln\u00e9rabilit\u00e9 dans l'utilisation de la fonction\n    krb5_klog_syslog() permettrait \u00e0 utilisateur malveillant authentifi\u00e9\n    d'ex\u00e9cuter du code arbitraire ou de provoquer un d\u00e9ni de service \u00e0\n    distance. Les applications tierces utilisant cette fonction peuvent\n    \u00eatre vuln\u00e9rables.\n-   une vuln\u00e9rabilit\u00e9 du d\u00e9mon d'administration (kadmind) permettrait \u00e0\n    un utilisateur authentifi\u00e9 d'ex\u00e9cuter du code arbitraire ou de\n    provoquer un d\u00e9ni de service \u00e0 distance. La source de la\n    vuln\u00e9rabilit\u00e9 est dans la biblioth\u00e8que de programmes GSS-API livr\u00e9e\n    avec MIT krb5. Par cons\u00e9quent, les applications tierces utilisant\n    cette biblioth\u00e8que peuvent \u00eatre vuln\u00e9rables.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2007-0957","url":"https://www.cve.org/CVERecord?id=CVE-2007-0957"},{"name":"CVE-2007-1216","url":"https://www.cve.org/CVERecord?id=CVE-2007-1216"},{"name":"CVE-2007-0956","url":"https://www.cve.org/CVERecord?id=CVE-2007-0956"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Kerberos 2007-002 du 04 avril 2007 :","url":"http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2007-002-syslogd.txt"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2007:077 du 04 avril    2007 :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2007:077"},{"title":"Bulletin de s\u00e9curit\u00e9 HP #c01056923 du 15 mai 2007 :","url":"http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&objectID=c01056923"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-1276 du 03 avril 2007 :","url":"http://www.debian.org/security/2007/dsa-1276"},{"title":"Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2007:0095 du 03 avril    2007 :","url":"http://rhn.redhat.com/errata/RHSA-2007-0095.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-449-1 du 04 avril 2007 :","url":"http://www.ubuntu.com/usn/usn-449-1"},{"title":"Bulletin de s\u00e9curit\u00e9 Kerberos 2007-003 du 04 avril 2007 :","url":"http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2007-003.txt"},{"title":"Bulletin de s\u00e9curit\u00e9 SuSE SUSE-SA:2007:025 du 05 avril 2007    :","url":"http://lists.suse.com/archive/suse-security-announce/2007-Apr/0001.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Kerberos 2007-001 du 04 avril 2007 :","url":"http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2007-001-telnetd.txt"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200704-02 du 03 avril 2007    :","url":"http://www.gentoo.org/security/en/glsa/glsa-200704-02.xml"}],"reference":"CERTA-2007-AVI-158","revisions":[{"description":"version initiale.","revision_date":"2007-04-04T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 HP, Gentoo, Debian, Mandriva, Red Hat, Ubuntu, SuSE.","revision_date":"2007-05-30T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s de <span class=\"textit\">Kerberos</span>\npermettraient \u00e0 des utilisateurs malveillants de provoquer un d\u00e9ni de\nservice \u00e0 distance, de contourner la politique de s\u00e9curit\u00e9 ou d'ex\u00e9cuter\ndu code arbitraire \u00e0 distance.\n","title":"Multiples vuln\u00e9rabilit\u00e9s de Kerberos","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Kerberos du 03 avril 2007","url":null}]}