Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MIT Kerberos 5

Betroffene Plattformen:

Red Hat Fedora 19
Red Hat Fedora 20

Durch zwei Schwachstellen in Kerberos ist es einem nicht authentifizierten
Angreifer im benachbarten Netzwerk möglich die Anwendung in einen
Denial-of-Service-Zustand zu versetzen.

Patch:

Fedora Security Update FEDORA-2014-8176

https://admin.fedoraproject.org/updates/FEDORA-2014-8176/krb5-1.11.3-22.fc19

Patch:

Fedora Security Update FEDORA-2014-8189

https://admin.fedoraproject.org/updates/FEDORA-2014-8189/krb5-1.11.5-8.fc20

CVE-2014-4342: Schwachstelle in Kerberos ermöglicht Denial-of-Service

Der Umgang mit RFC 1964 Tokens im MIT Kerberos 5 ist fehlerhaft. Ein nicht
authentifizierter Angreifer im benachbarten Netz kann per
Man-in-the-Middle-Angriff (MITM) Pakete in eine GSS-API-Sitzung einer
Anwendung injizieren und die Anwendung zum Absturz bringen.

CVE-2014-4341: Schwachstelle in Kerberos ermöglicht Denial-of-Service

Der Umgang mit RFC 1964 Tokens im MIT Kerberos 5 ist fehlerhaft. Ein im
benachbarten Netzwerk befindlicher, nicht authentifizierter Angreifer kann
per Man-in-the-Middle-Angriff (MITM) Pakete in eine GSS-API-Sitzung einer
Anwendung injizieren und die Anwendung zum Absturz bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0883/

Fedora Security Update FEDORA-2014-8176:
https://admin.fedoraproject.org/updates/FEDORA-2014-8176/krb5-1.11.3-22.fc19

Fedora Security Update FEDORA-2014-8189:
https://admin.fedoraproject.org/updates/FEDORA-2014-8189/krb5-1.11.5-8.fc20

Schwachstelle CVE-2014-4341 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4341

Schwachstelle CVE-2014-4342 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4342

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.