Alert GCSA-10005 - SA-2009-004 Vulnerabilita' in MIT Kerberos 5
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-10005
Data : 14 gennaio 2010
Titolo : SA-2009-004 Vulnerabilita' in MIT Kerberos 5
******************************************************************
:: Descrizione del problema
Sono state individuate alcune vulnerabilita' nel prodotto
MIT Kerberos che potrebbero consentire ad un aggressore remoto
di compromettere un sistema vulnerabile.
I difetti, di tipo 'integer underflow', riguardano operazioni di
decryption AES e RC4 nella crypto library.
:: Software interessato
Solo le versioni MIT krb5-1.3 e seguenti sono vulnerabili
dato che le versioni precedenti non contenevano la funzionalita'
implementata dalla parte di codice difettoso.
Ubuntu
Red Hat Desktop e Enterprise
:: Impatto
Denial of Service
Esecuzione di codice arbitrario (solo in condizioni straordinarie)
:: Soluzioni
Le versioni di prossimo rilascio krb5-1.7.1 e krb5-1.6.4,
non presenteranno la vulnerabilita' segnalata.
Per la versione krb5-1.7 applicare la seguente patch:
http://web.mit.edu/kerberos/advisories/2009-004-patch_1.7.txt
Per la versione krb5-1.6 applicare la seguente patch:
http://web.mit.edu/kerberos/advisories/2009-004-patch_1.6.3.txt
Per versioni precedenti alla krb5-1.6 puo' essere applicata
sempre la patch krb5-1.6.3 .
:: Riferimenti
MIT Kerberos Security Advisory
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2009-004.txt
http://web.mit.edu/kerberos/advisories/index.html
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4212
Vupen Security
http://www.vupen.com/english/advisories/2010/0096
Red Hat
https://rhn.redhat.com/errata/RHSA-2010-0029.html
Debian Security Advisory
http://security-tracker.debian.org/tracker/DSA-1969-1
http://lists.debian.org/debian-security-announce/2010/msg00004.html
Ubuntu Security Notice
http://www.ubuntu.com/usn/USN-879-1
http://www.ubuntu.com/usn/USN-881-1
-----BEGIN PGP SIGNATURE-----
iQCVAwUBS08hmPOB+SpikaiRAQL4ZwQAqTOs4ln0EsCRI99R/wS3ABFchKEZJYhk
CmqrVdocQkR9nr39jtRtAQcnMOTWdCOdi2iCejWW11gmFay+kLBBgdFSpwmWKD9u
OzhJE17YUkGvOOdZLhI5pjZCNPa4/W+68CJ233MBUgp5d5AFxVb6CJjiaNAwYnAD
Qikr/ZlzZho=
=O4Sz
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-10005
Data : 14 gennaio 2010
Titolo : SA-2009-004 Vulnerabilita' in MIT Kerberos 5
******************************************************************
:: Descrizione del problema
Sono state individuate alcune vulnerabilita' nel prodotto
MIT Kerberos che potrebbero consentire ad un aggressore remoto
di compromettere un sistema vulnerabile.
I difetti, di tipo 'integer underflow', riguardano operazioni di
decryption AES e RC4 nella crypto library.
:: Software interessato
Solo le versioni MIT krb5-1.3 e seguenti sono vulnerabili
dato che le versioni precedenti non contenevano la funzionalita'
implementata dalla parte di codice difettoso.
Ubuntu
Red Hat Desktop e Enterprise
:: Impatto
Denial of Service
Esecuzione di codice arbitrario (solo in condizioni straordinarie)
:: Soluzioni
Le versioni di prossimo rilascio krb5-1.7.1 e krb5-1.6.4,
non presenteranno la vulnerabilita' segnalata.
Per la versione krb5-1.7 applicare la seguente patch:
http://web.mit.edu/kerberos/advisories/2009-004-patch_1.7.txt
Per la versione krb5-1.6 applicare la seguente patch:
http://web.mit.edu/kerberos/advisories/2009-004-patch_1.6.3.txt
Per versioni precedenti alla krb5-1.6 puo' essere applicata
sempre la patch krb5-1.6.3 .
:: Riferimenti
MIT Kerberos Security Advisory
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2009-004.txt
http://web.mit.edu/kerberos/advisories/index.html
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4212
Vupen Security
http://www.vupen.com/english/advisories/2010/0096
Red Hat
https://rhn.redhat.com/errata/RHSA-2010-0029.html
Debian Security Advisory
http://security-tracker.debian.org/tracker/DSA-1969-1
http://lists.debian.org/debian-security-announce/2010/msg00004.html
Ubuntu Security Notice
http://www.ubuntu.com/usn/USN-879-1
http://www.ubuntu.com/usn/USN-881-1
-----BEGIN PGP SIGNATURE-----
iQCVAwUBS08hmPOB+SpikaiRAQL4ZwQAqTOs4ln0EsCRI99R/wS3ABFchKEZJYhk
CmqrVdocQkR9nr39jtRtAQcnMOTWdCOdi2iCejWW11gmFay+kLBBgdFSpwmWKD9u
OzhJE17YUkGvOOdZLhI5pjZCNPa4/W+68CJ233MBUgp5d5AFxVb6CJjiaNAwYnAD
Qikr/ZlzZho=
=O4Sz
-----END PGP SIGNATURE-----