CERTA-2004-AVI-286
Vulnerability from certfr_avis - Published: 2004-09-01 - Updated: 2004-09-08
Plusieurs vulnérabilités dans MIT Kerberos 5 permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'excécuter du code arbitraire à distance.
Description
MIT Kerberos est un protocole d'authentification.
Plusieurs vulnérabilités dans MIT Kerberos 5 ont été découvertes :
- Plusieurs vulnérabilités (CAN-2004-0642, CAN-2004-0643 et CAN-2004-0772) concernent des débordements de mémoire dans la mise en oeuvre du KDC (Key Distribution Center) ;
- plusieurs vulnérabilités (CAN-2004-0644) concernent des dénis de service dans le décodeur ASN.1 inclus dans MIT Kerberos 5.
Ces vulnérabilités permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.
Solution
Mettre à jour MIT Kerberos 5 en version krb5-1.3.5.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
Toutes les versions de MIT Kerberos 5 antérieures à la version krb5-1.3.5.
Impacted products
| Vendor | Product | Description |
|---|
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eToutes les versions de MIT Kerberos 5 ant\u00e9rieures \u00e0 la version krb5-1.3.5.\u003c/p\u003e",
"content": "## Description\n\nMIT Kerberos est un protocole d\u0027authentification. \nPlusieurs vuln\u00e9rabilit\u00e9s dans MIT Kerberos 5 ont \u00e9t\u00e9 d\u00e9couvertes :\n\n- Plusieurs vuln\u00e9rabilit\u00e9s (CAN-2004-0642, CAN-2004-0643 et\n CAN-2004-0772) concernent des d\u00e9bordements de m\u00e9moire dans la mise\n en oeuvre du KDC (Key Distribution Center) ;\n- plusieurs vuln\u00e9rabilit\u00e9s (CAN-2004-0644) concernent des d\u00e9nis de\n service dans le d\u00e9codeur ASN.1 inclus dans MIT Kerberos 5.\n\nCes vuln\u00e9rabilit\u00e9s permettent \u00e0 un utilisateur mal intentionn\u00e9 de\nr\u00e9aliser un d\u00e9ni de service ou d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance\nsur la plate-forme vuln\u00e9rable.\n\n## Solution\n\nMettre \u00e0 jour MIT Kerberos 5 en version krb5-1.3.5. \nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2004-09-01T00:00:00",
"last_revision_date": "2004-09-08T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 #57631 de Sun :",
"url": "http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57631"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200409-09 du 06 septembre 2004 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200409-09.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2004:350 du 31 ao\u00fbt 2004 :",
"url": "http://rhn.redhat.com/errata/RHSA-2004-350.html"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD mit-krb5 :",
"url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/security/mit-krb5/README.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:088 du 31 ao\u00fbt 2004 :",
"url": "http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:088"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 MIT krb5 2004-002 :",
"url": "http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2004-002-dblfree.txt"
},
{
"title": "Bulletins de s\u00e9curit\u00e9 FreeBSD pour krb5 du 31 ao\u00fbt 2004 :",
"url": "http://www.vuxml.org/freebsd/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-543 du 31 ao\u00fbt 2004 :",
"url": "http://www.debian.org/security/2004/dsa-543"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 MIT krb5 2004-003 :",
"url": "http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2004-003-asn1.txt"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Cisco #61720 du 31 ao\u00fbt 2004 :",
"url": "http://www.cisco.com/en/US/products/products_security_advisory09186a00802b3cf9.shtml"
}
],
"reference": "CERTA-2004-AVI-286",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-09-01T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Cisco.",
"revision_date": "2004-09-02T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo.",
"revision_date": "2004-09-06T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence \u00e0 la mise \u00e0 jour de s\u00e9curit\u00e9 NetBSD.",
"revision_date": "2004-09-08T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "D\u00e9ni de service"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s dans MIT Kerberos 5 permettent \u00e0 un utilisateur\nmal intentionn\u00e9 de r\u00e9aliser un d\u00e9ni de service ou d\u0027exc\u00e9cuter du code\narbitraire \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9s de MIT Kerberos 5",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletins de s\u00e9curit\u00e9 MIT krb5 Security Advisory 2004-002 et 2004-003",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…