-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 273-1 security@debian.org http://www.debian.org/security/ Martin Schulze 28 de Março de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : krb4 Vulnerabilidade : fraqueza criptográfica Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2003-0138 Alerta CERT : VU#623217 Uma fraqueza criptográfica na versão 4 do protocolo Kerberos permite que um atacante use um ataque "chosen-plaintext" para personificar qualquer principal em um domínio. Adicionalmente, a fraqueza criptográfica na implementação do krb4 permite o uso do ataque copiar-e-colar para fabricar tickets krb4 para clientes principais não autorizados se as chaves triple-DES forem usadas nos serviços krb4. Estes ataques podem ubverter toda a estrutura de autenticação de um domínio que use o Kerberos inteiramente. Na distribuição estável (woody), este problema foi corrigido na versão 1.1-8-2.3. Na antiga distribuição estável (potato), este problema foi corrigido na versão 1.0-2.3. Na distribuição instável (sid), este problema foi corrigido na versão 1.2.2-1. Nós recomendamos que você atualize seus pacotes krb4 imediatamente. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpTQN6DdwZY2.pgp
Description: PGP signature