--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 266-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
17 Março de 2003 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Pacote : krb5
Vulnerabilidade : vários
Tipo de Problema : remoto
Específico ao Debian : não
Ids do CVE : CAN-2003-0028 CAN-2003-0072 CAN-2003-0138
CAN-2003-0139
Alertas CERT : VU#623217 VU#442569 VU#516825 CA-2003-10
Várias vulnerabilidades foram descobertas no krb5, uma implementação do
MIT Kerberos.
. Um defeito de criptografia na versão 4 do protocolo Kerberos permite
que um atacante use um ataque de texto-plano selecionado para imitar
qualquer principal num domínio. Defeitos adicionais de criptografia
na implementação do krb4 incluídas na distribuição MIT krb5 permitem
o uso de ataques de cortar-e-colar para fabricar bilhetes krb4 para
clientes principal não autorizados se chaves três-DES forem usadas
para registrar serviços krb4. Esses ataques podem subverter toda a
infra-estrutura de autenticação Kerberos de um site.
A versão 5 do Kerberos não contém essa vulnerabilidade na criptografia.
Sites que estão com Kerberos v4 totalmente desabilitado, incluindo a
desativação de qualquer serviço de tradução krb5 para krb4, não estão
vulneráveis.
. A implementação MIT Kerberos 5 inclui uma biblioteca derivada do SUNRPC.
Ela contém checagens de comprimento, que são vulneráveis a um estouro
de inteiro, que pode ser explorado para criar negações de serviço ou
para obter acesso não autorizado a informações sensíveis.
. Existem problemas de buffer overrun e underrun no manuseio do principal
de nomes em casos incomuns do Kerberos, tais como nomes sem componentes,
nomes com um componente vazio, ou o serviço principal de nomes baseado
em host, sem componentes host.
Para a distribuição estável (woody) esse problema foi corrigido na
versão 1.2.4-5woody4.
A antiga distribuição estável (potato) não contém os pacotes krb5.
Para a distribuição estável (sid) esse problema será corrigido em breve.
Nós recomendamos que você atualize seu pacote krb5.
--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista
debian-security-announce@lists.debian.org. Caso queira receber os
alertas em inglês e minutos depois de sua publicação, inscreva-se na
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
*******************************************************************
.''`. Debian Weekly News: <http://www.debian.org/News/weekly>
: :' : Debian BR.........: <http://debian-br.cipsga.org.br>
`. `'` Equipe de Imprensa e Traduções do Debian-BR
`- O que você quer saber hoje?
*******************************************************************
Se você tiver notícias interessantes para serem publicadas,
envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpV6SQt8PWsV.pgp
Description: PGP signature