В Kerberos найдена опасная уязвимость
Эксперты по информационной безопасности обнаружили уязвимости в системе аутентификации клиента и сервера Kerberos, позволяющие вызывать отказ в обслуживании и выполнение произвольного кода.
Двойное освобождение памяти обнаружено в функции krb5_recvauth(). Удаленный пользователь может выполнить произвольный код на целевой системе. Уязвимость в реализации центра распределения ключей позволяет удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе. Кроме того, удаленный пользователь может послать KDC специально сформированные TCP-пакеты, освободить случайную область памяти и вызвать отказ в обслуживании.
Также удаленный пользователь может послать специально сформированные TCP- или UDP-пакеты и вызвать однобайтовое (single-byte) переполнение кучи. Удаленный пользователь может выполнить произвольный код на целевой системе. Уязвимость обнаружена в файлах kdc/do_as_req.c и kdc/do_tgs_req.c.
Уязвимы программа krb5–1.4.1 и более ранние версии. "Дыре" присвоен рейтинг опасности "высокая". Для решения проблемы установите последнюю версию (krb5–1.4.2) от производителя, сообщил Securitylab.
Двойное освобождение памяти обнаружено в функции krb5_recvauth(). Удаленный пользователь может выполнить произвольный код на целевой системе. Уязвимость в реализации центра распределения ключей позволяет удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе. Кроме того, удаленный пользователь может послать KDC специально сформированные TCP-пакеты, освободить случайную область памяти и вызвать отказ в обслуживании.
Также удаленный пользователь может послать специально сформированные TCP- или UDP-пакеты и вызвать однобайтовое (single-byte) переполнение кучи. Удаленный пользователь может выполнить произвольный код на целевой системе. Уязвимость обнаружена в файлах kdc/do_as_req.c и kdc/do_tgs_req.c.
Уязвимы программа krb5–1.4.1 и более ранние версии. "Дыре" присвоен рейтинг опасности "высокая". Для решения проблемы установите последнюю версию (krb5–1.4.2) от производителя, сообщил Securitylab.
Ещё новости по теме:
18:20