Bug 10666

Summary: В Kerberos найдены опасные уязвимости
Product: Sisyphus Reporter: Dmitri Kuzishchin <dim>
Component: krb5-kdcAssignee: Ivan A. Melnikov <iv>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: normal    
Priority: P2 CC: iv, shaba
Version: unstable   
Hardware: all   
OS: Linux   
URL: http://www.cnews.ru/news/line/index.shtml?2007/01/12/231072

Description Dmitri Kuzishchin 2007-01-16 12:50:42 MSK 
Критическая уязвимость существует из-за ошибки при обработке
неинициализированных указателей, когда интерфейс mechglue в реализации GSS-API
вызывает определенные функции обработки ошибок. Удаленный пользователь может с
помощью специально сформированного пакета вызвать отказ в обслуживании или
выполнить произвольный код на целевой системе. Уязвимы Kerberos krb5-1.5 &#8212;
krb5-1.5.1, а возможно, и более ранние версии.

Еще одна критическая уязвимость существует из-за ошибки при обработке
xprt->xp_auth указателей во время освобождения структур в памяти. Удаленный
пользователь может с помощью специально сформированного kerberos-пакета вызвать
отказ в обслуживании демона или выполнить произвольный код на целевой системе.
Уязвимы Kerberos krb5-1.4 &#8212; krb5-1.4.4, krb5-1.5 &#8212; krb5-1.5.1, а возможно, и
более ранние версии.

Для решения проблем установите последнюю версию с сайта производителя, сообщил
Securitylab.
Comment 1 Sergey Bolshakov 2007-01-16 13:26:03 MSK 
Предлагаю отнестись критически к рекомендациям по безопасности, почерпнутым из 
мурзилок.