SR04-110 MIT Kerberos 5 två nya sårbarheter

Publicerad: 040901

Problembeskrivning:
CVE-referens: CAN-2004-0642
CVE-referens: CAN-2004-0772
1. MIT Kerberos 5 Key Distribution Center (KDC) är sårbart för en för en buffertöverflödesattack. En angripare kan utnyttja sårbarheten för att exekvera godtycklig kod som kan äventyra hela säkertsdomänen (realm) som representeras av den KDC som angrips. Sårbarheten är en så kallad "double-free"-sårbarhet i Kerberos 5 "library code" som gör både server och klienter sårbara.

CVE-referens: CAN-2004-0644
2. MIT Kerberos 5 ASN.1 "decoder library" är sårbar för en blockeringsattack (DoS) som kan skapa evig loop som gör att systemet hänger sig.

Påverkade versioner:
1.
KDC programvara t.o.m. Kerberos 5 som även inkluderar krb5-1.3.4
krb524d fr.o.m. krb5-1.2.8 och senare
2.
KDC programvara och applikationer Kerberos 5 krb-1.2.2 t.o.m. krb5-1.3.4

Uppdatering:
http://web.mit.edu/kerberos/advisories/index.html

Tillfällig lösning:
Ingen angiven för tillfället.

Mer information:
http://web.mit.edu/kerberos/advisories/index.html

Versionshistorik:
040901: Särskilt råd skapat.