Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : MIT krb5, déni de service de kadmind

avril 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant authentifié peut employer un numéro de version d’API
trop grand, afin de stopper le démon kadmind de MIT krb5 version
1.5 à 1.6.3.

 Gravité : 2/4
 Date création : 07/04/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le démon kadmind de MIT krb5 version 1.5 à 1.6.3 personnalise les
messages d’erreur en utilisant le contexte courant.

Un client kadmin indique le numéro de version de l’API
(Application Programming Interface) qu’il utilise. Lorsque kadmind
reçoit un numéro de version qu’il ne supporte pas, la fonction
stub init_2_svc() génère un message d’erreur, en appelant
krb5_get_error_message(). Cependant, ce message utilise un
contexte qui n’est pas initialisé, ce qui stoppe le démon.

Un attaquant authentifié peut donc employer un numéro de version
d’API trop grand, afin de stopper le démon kadmind de MIT krb5
version 1.5 à 1.6.3.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/MIT-krb5-deni-de-service-de-kadmind-9562


Voir les articles précédents

    

Voir les articles suivants