Bug 10666 - В Kerberos найдены опасные уязвимости
Summary: В Kerberos найдены опасные уязвимости
Status: CLOSED NOTABUG
Alias: None
Product: Sisyphus
Classification: Development
Component: krb5-kdc (show other bugs)
Version: unstable
Hardware: all Linux
: P2 normal
Assignee: Ivan A. Melnikov
QA Contact: qa-sisyphus
URL: http://www.cnews.ru/news/line/index.s...
Keywords:
Depends on:
Blocks:
 
Reported: 2007-01-16 12:50 MSK by Dmitri Kuzishchin
Modified: 2007-01-16 13:26 MSK (History)
2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Dmitri Kuzishchin 2007-01-16 12:50:42 MSK 
Критическая уязвимость существует из-за ошибки при обработке
неинициализированных указателей, когда интерфейс mechglue в реализации GSS-API
вызывает определенные функции обработки ошибок. Удаленный пользователь может с
помощью специально сформированного пакета вызвать отказ в обслуживании или
выполнить произвольный код на целевой системе. Уязвимы Kerberos krb5-1.5 —
krb5-1.5.1, а возможно, и более ранние версии.

Еще одна критическая уязвимость существует из-за ошибки при обработке
xprt->xp_auth указателей во время освобождения структур в памяти. Удаленный
пользователь может с помощью специально сформированного kerberos-пакета вызвать
отказ в обслуживании демона или выполнить произвольный код на целевой системе.
Уязвимы Kerberos krb5-1.4 — krb5-1.4.4, krb5-1.5 — krb5-1.5.1, а возможно, и
более ранние версии.

Для решения проблем установите последнюю версию с сайта производителя, сообщил
Securitylab.
Comment 1 Sergey Bolshakov 2007-01-16 13:26:03 MSK 
Предлагаю отнестись критически к рекомендациям по безопасности, почерпнутым из 
мурзилок.