[ddr] webwml://security/2003/dsa-273,269,266
Bonjour,
Je me suis repassé les DSAs sur Kerberos.
Merci de vos relectures, Thomas.
<define-tag description>Faille cryptographique</define-tag>
<define-tag moreinfo>
<p>Une faiblesse cryptographique dans la version 4 du protocole Kerberos
permet à un attaquant d'utiliser une attaque via un texte simple pour être
authentifié par les contrôleurs de domaine. D'autres faiblesses
cryptographiques dans l'implémentation krb4 incluse dans la distribution
de krb5 du MIT permettent l'utilisation d'attaques copier/coller pour
fabriquer des tickets krb4 pour des clients non-autorisés si les clés
triple-DES sont utilisées pour les services de clé de krb4. Ces attaques
peuvent compromettre l'entière infrastructure d'authentication Kerberos.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans
la version 1.1-8-2.3.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ce problème a été
corrigé dans la version 1.0-2.3.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans
la version 1.2.2-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets krb4 immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-273.data"
# $Id: dsa-273.wml,v 1.1 2003/03/28 12:12:46 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Faille cryptographique</define-tag>
<define-tag moreinfo>
<p>Une faiblesse cryptographique dans la version 4 du protocole Kerberos
permet à un attaquant d'utiliser une attaque via un texte simple pour être
authentifié par les contrôleurs de domaine. D'autres faiblesses
cryptographiques dans l'implémentation krb4 incluse dans la distribution
de krb5 du MIT permettent l'utilisation d'attaques copier/coller pour
fabriquer des tickets krb4 pour des clients non-autorisés si les clés
triple-DES sont utilisées pour les services de clé de krb4. Ces attaques
peuvent compromettre l'entière infrastructure d'authentication Kerberos.</p>
<p>Cette version du paquet heimdal change le comportement par défaut et
interdit l'authentification entre domaine pour Kerberos version 4.
Parce que la nature fondamentale du problème est de ne pouvoir garantir
une authentification entre domaine sécurisée dans Kerberos version 4,
les sites ne devraient pas l'utiliser. Une nouvelle option
(<i>--kerberos4-cross-realm</i>) est fournie à la commande <i>kdc</i>
pour réactiver l'authentification entre domaine de Kerberos version 4
pour les sites qui doivent utiliser cette fonctionalité mais qui désirent
les autres correctifs de sécurité.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans
la version 0.4e-7.woody.6.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) n'est pas affectée par ce
problème, étant donné qu'elle n'est pas compilée avec kerberos 4.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans
la version 0.5.2-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets heimdal
immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-269.data"
# $Id: dsa-269.wml,v 1.2 2003/03/26 20:26:12 peterk Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>Plusieurs failles de sécurité ont été découvertes dans <i>krb5</i>, une
implémentation de Kerberos du MIT.</p>
<ul>
<li>Une faiblesse cryptographique dans la version 4 du protocole Kerberos
permet à un attaquant d'utiliser une attaque via un texte simple pour
être authentifié par les contrôleurs de domaine. D'autres faiblesses
cryptographiques dans l'implémentation krb4 incluse dans la distribution de
krb5 du MIT permettent l'utilisation d'attaques copier/coller pour fabriquer
des tickets krb4 pour des clients non-autorisés si les clés triple-DES
sont utilisées pour les services de clé de krb4. Ces attaques peuvent
compromettre l'entière infrastructure d'authentication Kerberos.
<p>Kerberos version 5 ne contient pas cette faille cryptographique.
Les sites ne sont pas vulnérables s'ils ont complètement désactivé Kerberos
v4, incluant tout service de traduction de krb5 vers krb4 ;</p>
</li>
<li>L'implémentation de Kerberos 5 du MIT inclut une bibliothèque RPC
basée sur SUNRPC. L'implémentation contient des vérifications de taille qui
sont vulnérables au dépassement d'entier, ce qui est exploitable pour
créer des dénis de service ou gagner des accès non-autorisés à des
informations sensibles ;</li>
<li>Des problèmes de sur et de sous-exploitations des tampons existent dans
la gestion des noms de pincipaux contrôleurs de Kerberos dans certains cas
comme des noms sans composant, avec un composant vide ou un service basé
sur le nom de machine sans composant de nom de machine.</li>
</ul>
<p>
Cette version du paquet krb5 modifie le comportement par défaut et ne
permet plus l'authentification entre domaine pour Kerberos version 4.
En raison de la nature fondamentale de ce problème, l'authentification entre
domaines dans Kerberos version 4 ne peut être sécurisée et les sites
devraient éviter de l'utiliser. Une nouvelle option (-X) a été ajoutée pour
les commandes <i>krb5kdc</i> et <i>krb524d</i> pour réactiver
l'authentification entre domaine de la version 4 pour ces sites qui ont
besoin de cette fonctionnalité mais qui souhaitent également bénéficier de
la correction de sécurité.
</p>
<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été
corrigés dans la version 1.2.4-5woody4.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) n'est pas concernée car
elle n'inclut pas krb5.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes seront bientôt
corrigés.</p>
<p>Nous vous recommandons de mettre à jour votre paquet krb5.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-266.data"
# $Id: dsa-266.wml,v 1.3 2003/04/01 17:35:29 pmachard Exp $
#use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force"
Reply to: