Plusieurs vulnérabilités distantes ont été découvertes dans le composant kdc de krb5, un système d'authentifications des utilisateurs et des services sur réseau. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Un attaquant distant non authentifié peut engendrer le plantage d'un KDC avec krb4 activé, divulguer des informations ou exécuter du code arbitraire. L'exploitation réussie de cette vulnérabilité peut compromettre la base de données de clés Kerberos et la sécurité des hôtes sur l'hôte KDC.
Un attaquant distant non authentifié peut faire divulguer des informations à un KDC avec krb4 activé. il est théoriquement possible que ces informations comprennent les données de clés secrètes sur certaines plates-formes.
Un attaquant distant non authentifié peut engendrer une corruption de mémoire dans le processus kadmind. Il est probable que cela cause le plantage de kadmind résultant en un déni de service. Il est, au moins théoriquement, possible qu'une telle corruption engendre une corruption de la base de données ou l'exécution de code arbitraire, bien que nous n'ayons pas réussi ni entendu parlé de la réussite d'une telle exploitation de ce problème. Dans les versions de Kerberos du M.I.T. fournies par Debian, ce bogue ne peut être déclenché que dans des configurations qui permettent de grands nombres de descripteurs de fichiers ouverts par processus.
Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 1.3.6-2sarge6 de krb5.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.4.4-7etch5.
Nous vous recommandons de mettre à jour vos paquets krb5.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.