Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Ett blixtmeddelande har felaktigen gått ut från CERT-SE

För mer information, se: https://www.cert.se/2023/09/uppdatering-gallande-felaktiga-utskick

Uppdaterad | Publicerad - Sårbarhet, krypto

SR08-105 MIT Kerberos - Flera sårbarheter

Sårbarheter i Kerberos Key Distribution Center (KDC) och RPC-bibliotek kan medge informationsläckage och potentiellt kodexekvering.

Problembeskrivning

CVE-referens: CVE-2008-0062 CVE-2008-0063 CVE-2008-0947 CVE-2008-0948

Ett flertal sårbarheter i MIT Kerberos har upptäckts - två i KDC och två i ett RPC-biblioteket som används av kadmind.

Sårbarheterna i KDC kan medge att potentiellt känsligt minne kan läcka, att ett system kan krasha eller att godtycklig kod kan exekveras. För att bristerna skall blottas krävs att krb4-stöd är aktiverat i KDC, något som ej är standard i senare versioner.

Sårbarheterna i RPC-biblioteket beror på en bristfällig hantering av öppna fildeskriptorer. En angripare kan potentiellt förvanska minne genom att öppna ett stort antal RPC-kopplingar mot ett sårbart system. Ett troligt resultat, enligt MIT, är att systemet kraschar, men teoretiskt sett finns en möjlighet för exekvering av kod.

Påverkade versioner

  • MIT Kerberos 5 versions 1.6.3 och tidigare

Mer information och programrättningar

http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2008-001.txt

http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2008-002.txt