Actualización de Conectiva para krb5. | Vulnerabilidades

1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-313 Actualización de Conectiva para krb5.

Conectiva liberó una actualización para krb5. Esta repara varias vulnerabilidades que pueden explotarse para ocasionar una negación de servicio (DoS) o posiblemente comprometer un sistema vulnerable.

Fecha de Liberación: 9-Ago-2005
Fuente:
Conectiva Linux Advisory
CLSA-2005:993
CVE ID: CAN-2005-1174 CAN-2005-1175 CAN-2005-1689
Riesgo Altamente crítico
Problema de Vulnerabilidad Remoto
Tipo de Vulnerabilidad Buffer overflow

Sistemas Afectados

Conectiva 10	Krb5	<	1.3.3
Conectiva 9	Krb5	<	1.2.7

Descripción

Conectiva liberó una actualización para krb5. Esta repara varias vulnerabilidades que pueden explotarse por personas maliciosas para ocasionar una negación de servicio (DoS) o posiblemente comprometer un sistema vulnerable.
1. Un error de doble liberación de memoria en la función "krb5_recvauth()" puede ser explotado para ejecutar código arbitrario en el contexto del programa que llamo a dicha función.
2. Un error en la implementación del Key Distribution Center (KDC) ocasiona liberación de memoria en localidades aleatorias, con esto se puede realizar una corrupción de la memoria vía una petición TCP maliciosa, provocando la caída del KDC.
3. Un error de frontera en el KDC puede ocasionar un desbordamiento de memoria vía una petición TCP o UDP malicosa. Esto podria ser explotado para ejecutar código arbitrario.
4. Impacto
  
  Negación de servicio (DoS).
  
  Acceso al sistema.
5. Solución
  
  Aplicar los paquetes actualizados.
  
  -- Conectiva Linux 10 --
  ftp://atualizacoes.conectiva.com.br/10/SRPMS/krb5-1.3.3-62470U10_6cl.src.rpm
  ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-1.3.3-62470U10_6cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-apps-clients-1.3.3-62470U10_6cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-apps-servers-1.3.3-62470U10_6cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-client-1.3.3-62470U10_6cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-devel-1.3.3-62470U10_6cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-devel-static-1.3.3-62470U10_6cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-doc-1.3.3-62470U10_6cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-server-1.3.3-62470U10_6cl.i386.rpm
  -- Conectiva Linux 9 --
  ftp://atualizacoes.conectiva.com.br/9/SRPMS/krb5-1.2.7-28721U90_7cl.src.rpm
  ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-1.2.7-28721U90_7cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-apps-clients-1.2.7-28721U90_7cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-apps-servers-1.2.7-28721U90_7cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-client-1.2.7-28721U90_7cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-devel-1.2.7-28721U90_7cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-devel-static-1.2.7-28721U90_7cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-doc-1.2.7-28721U90_7cl.i386.rpm
  ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-server-1.2.7-28721U90_7cl.i386.rpm
6. Apéndices
  
  Mayor información.
  http://distro.conectiva.com.br/atualizacoes/
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
- Floriberto López Velázquez (flopez at seguridad dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Vulnerabilidades rss pdf

Vulnerabilidad de Seguridad UNAM-CERT-2005-313 Actualización de Conectiva para krb5.

Sistemas Afectados

Descripción

Impacto

Solución

Apéndices