Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har två jobbannonser ute just nu: Sök till Systemadministratör eller Övningsansvarig senast 18 augusti.

Uppdaterad | Publicerad - Sårbarhet, krypto

SR07-051 Kerberos - Ett flertal sårbarheter

Sårbarheter har upptäckts i MIT Kerberos som kan utnyttjas för att kringgå säkerhetsmekanismer samt potentiellt exekvera godtycklig kod.

Problembeskrivning

CVE-referens: CVE-2007-0956, CVE-2007-0957, CVE-2007-1216

Tre sårbarheter har upptäckts i MIT Kerberos. Den första sårbarheten beror på en bristfällig validering av ingångsdata i MIT krb5 telnetd. Denna sårbarhet medger icke-auktoriserad inloggning som godtycklig användare. Den andra sårbarheten beror på en möjlig stack-baserad buffertöverflödning i funktionen krb5_klog_syslog(). Den tredje och sista sårbarheten är av typen "double free" och återfinns i GSS-API-biblioteket. Biblioteket används bl.a. i Kerberos adminstrationsdemon (kadmind). De två sistnämnda sårbarheterna kan utnyttjas av en autentiserad användare för att exekvera godtycklig kod på ett sårbart system.

Påverkade versioner

  • MIT Kerberos V5 1.6 och tidigare

Mer information och programrättningar

http://web.mit.edu/Kerberos/advisories/MITKRB5-SA-2007-001-telnetd.txt
http://web.mit.edu/Kerberos/advisories/MITKRB5-SA-2007-002-syslog.txt
http://web.mit.edu/Kerberos/advisories/MITKRB5-SA-2007-003.txt