Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : MIT krb5, dénis de service de KDC

novembre 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant distant peut provoquer plusieurs dénis de service dans le KDC de MIT krb5.

- Gravité : 2/4
- Date création : 19/10/2011
- Date révision : 24/10/2011

PRODUITS CONCERNÉS

- Mandriva Enterprise Server
- Mandriva Linux
- MIT krb5
- OpenSUSE
- Red Hat Enterprise Linux

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans MIT krb5.

Lorsque le KDC est configuré pour utiliser un backend LDAP, un attaquant peut employer une requête avec un principal invalide, afin de déréférencer un pointeur NULL dans krb5_ldap_get_principal(). [grav:2/4 ; 629558, CVE-2011-1527]

Lorsqu’un compte est verrouillé, un attaquant peut provoquer une erreur d’assertion dans la fonction krb5_ldap_lockout_audit(). [grav:2/4 ; CVE-2011-1528]

Un attaquant peut employer une requête illicite, afin de déréférencer un pointeur NULL via krb5_ldap_lockout_audit() et krb5_db2_lockout_audit(), qui appellent lookup_lockout_policy(). [grav:2/4 ; CVE-2011-1529]

Lorsqu’un compte est verrouillé, un attaquant peut provoquer une erreur d’assertion dans la fonction krb5_db2_lockout_audit(). [grav:2/4 ; CVE-2011-4151]

Un attaquant distant peut donc provoquer plusieurs dénis de service dans le KDC de MIT krb5.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/M...




Voir les articles précédents

    

Voir les articles suivants