Bug 10666 - В Kerberos найдены опасные уязвимости
: В Kerberos найдены опасные уязвимости
Status: CLOSED NOTABUG
: Sisyphus
(All bugs in Sisyphus/krb5-kdc)
: unstable
: all Linux
: P2 normal
Assigned To:
:
: http://www.cnews.ru/news/line/index.s...
:
:
:
  Show dependency tree
 
Reported: 2007-01-16 12:50 by
Modified: 2007-01-16 13:26 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2007-01-16 12:50:42
Критическая уязвимость существует из-за ошибки при обработке
неинициализированных указателей, когда интерфейс mechglue в реализации GSS-API
вызывает определенные функции обработки ошибок. Удаленный пользователь может с
помощью специально сформированного пакета вызвать отказ в обслуживании или
выполнить произвольный код на целевой системе. Уязвимы Kerberos krb5-1.5
—
krb5-1.5.1, а возможно, и более ранние версии.

Еще одна критическая уязвимость существует из-за ошибки при обработке
xprt->xp_auth указателей во время освобождения структур в памяти. Удаленный
пользователь может с помощью специально сформированного kerberos-пакета вызвать
отказ в обслуживании демона или выполнить произвольный код на целевой системе.
Уязвимы Kerberos krb5-1.4 — krb5-1.4.4, krb5-1.5 — krb5-1.5.1, а
возможно, и
более ранние версии.

Для решения проблем установите последнюю версию с сайта производителя, сообщил
Securitylab.
------- Comment #1 From 2007-01-16 13:26:03 -------
Предлагаю отнестись критически к рекомендациям по безопасности, почерпнутым из 
мурзилок.