[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 269-2] Novos pacotes heimdal corrigem falha de autenticação

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 269-2                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
09 de Abril de 2003			http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote			: heimdal
Vulnerabilidade		: defeito de criptografia
Tipo de Problema	: remoto
Específico ao Debian	: não
Id CVE			: CAN-2003-0138
Alerta CERT		: VU#623217

Devido a patches aplicados muito rapidamente, as atualizações de segurança
do DSA 269-1 introduziram problemas em algumas instalações, fazendo com que
o serviço hprop falhe. Isso está corrigido com essa atualização.

Para maiores informações, aqui está o texto do alerta original:

     Um defeito de criptografia na versão 4 do protocolo Kerberos permite
     que um atacante use um ataque de texto-plano selecionado para imitar
     qualquer principal num domínio. Defeitos adicionais de criptografia
     na implementação do krb4 incluídas na distribuição MIT krb5 permitem
     o uso de ataques de cortar-e-colar para fabricar bilhetes krb4 para
     clientes principal não autorizados se chaves três-DES forem usadas 
     para registrar serviços krb4. Esses ataques podem subverter toda a 
     infra-estrutura de autenticação Kerberos de um site.

     Esta versão do pacote heimdal muda o comportamento padrão e rejeita
     autenticação através de domínio para o Kerberos versão 4. Devido a 
     natureza fundamental do problema, a autenticação através de domínio no
     kerberos versão 4 não pode ser feita de forma segura e os sites devem 
     evitar o seu uso. Uma nova opção (--kerberos4-cross-realm) é fornecida 
     ao comando kdc para re-habilitar a autenticação através de domínio da 
     versão 4 para esses sites, que devem usar essa funcionalidade mas, 
     desejando as outras correções de segurança.

Na atual distribuição estável (woody), este problema foi corrigido na versão 
0.4e-7.woody.8.

A antiga distribuição estável (potato) não é afetada por este problema, uma 
vez que este não é compilado com suporte a kerberos 4.

Na distribuição instável (sid), o problema original foi corrigido na versão
0.5.2-1 e uma vez que este contém uma nova versão do autor, não existe mais
o problema mencionado acima.

Nós recomendamos que você atualize seus pacotes heimdal.

Attachment: pgpwUGcQtbkc0.pgp
Description: PGP signature

Reply to: