DFN-CERT-2013-0639 Schwachstellen in Kerberos 5 [Linux][Fedora]

DFN-CERT-2013-0639 Schwachstellen in Kerberos 5 [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket krb5

Betroffene Plattformen:

Fedora 18

Schwachstellen in Kerberos 5 erlauben einem entfernten Angreifer den Dienst
zum Absturz zu bringen (Denial-of-Service).

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-1016: Schwachstelle in Kerberos 5

In der Funktion pkinit_server_return_padata() (in:
plugins/preauth/pkinit/pkinit_srv.c) in der PKINIT-Implementierung des KDC
(Key Distribution Center) in Kerberos 5 vor Version 1.10.4 ist es möglich,
dass ein NULL-Pointer dereferenziert wird. Einem entfernten Angreifer ist es
mittels einer präparierten ‘Draft 9’-Anfrage möglich, den Dienst zum Absturz
zu bringen (Denial-of-Service).

CVE-2013-1415: Schwachstelle in Kerberos 5

In dem KDC-Plugin für PKINIT, bis einschließlich Version 1.6.3, ist es
möglich, dass ein NULL-Pointer dereferenziert wird. Einem entfernten
Angreifer ist mittels eines gültigen PKINIT-Zertifikats möglich, einen
Denial-of-Service-Angriff durchzuführen. Für den Fall, dass “Anonymous
PKINIT” eingeschaltet ist, muss der Angreifer nicht authentifiziert sein.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0639/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-March/100867.html

Schwachstelle CVE-2013-1415:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1415

Schwachstelle CVE-2012-1016:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1016

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben