1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
|
<define-tag description>Mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Mehrere Verwundbarkeiten wurden in krb5 gefunden, einer Implementation
von MIT Kerberos.</p>
<ul>
<li>Eine kryptographische Schwachstelle in Version 4 des Kerberos
Protokolls erlaubt einem Angreifer eine Attacke mit einem gewählten
Klartext zur Nachahmung eines beliebigen Prinzipals in einem
Realm. Zusätzliche kryptographische Schwachstellen in der krb4
Implementation, die in der MIT krb5 Distribution enthalten ist,
erlauben die Benutzung von Ausschneiden-und-Einfügen Attacken,
um für unautorisierte Klient-Prinzipale krb4 Tickets herzustellen,
falls triple-DES Schlüssel benutzt werden, um krb4 Dienste
freizuschalten. Diese Attacken können die gesamte Kerberos
Infrastruktur einer Site untergraben.
<p>Kerberos in Version 5 enthält diese kryptographische Verwundbarkeit
nicht. Sites sind nicht verwundbar, wenn sie Kerberos v4 komplett
deaktiviert haben, einschließlich der Deaktivierung von jeglichen
Übersetzungsdiensten zwischen krb5 und krb4.</p>
</li>
<li>Die MIT Kerberos 5 Implementation beinhaltet eine RPC Bibliothek,
die von SUNRPC abgeleitet ist. Die Implementation enthält
Längenüberprüfungen, die für Integer-Überläufe anfällig sind,
was ausgenutzt werden könnte, um Denial-of-Service zu schaffen
oder um mittels unautorisierten Zugriffs auf sensitive Informationen
zu gelangen.</li>
<li>Pufferüber- und -unterlaufprobleme existieren in Kerberos
Prinzipalnamenshandhabung in ungewöhnlichen Fällen, wie Namen
ohne Komponenten, Namen mit einer leeren Komponente oder host-basierten
Dienstprinzipal-Namen ohne Hostnamen-Komponente.</li>
</ul>
<p>
Diese Version des krb5 Paketes ändert das Standardverhalten und verbietet
cross-realm Authentifizierung für Kerberos in Version 4. Wegen der tiefgehenden
Natur des Problems kann cross-Realm Authentifizierung in Kerberos Version 4
nicht sicher gemacht werden und Sites sollten seine Benutzung vermeiden.
Eine neue Option (-X) für die Kommandos krb5kdc sowie krb524d wird, um
cross-realm Authentifizierung in Version 4 zu reaktivieren, für die Sites
angeboten, die diese Funktion benutzen müssen aber die anderen
Sicherheitsreparaturen benötigen.
</p>
<p>Für die stable Distribution (Woody) wurde dieses Problem in
Version 1.2.4-5woody4 behoben.</p>
<p>Die alte stable Distribution (Potato) enthält keine krb5 Pakete.</p>
<p>Für die unstable Distribution (Sid) wird dieses Problem bald behoben sein.</p>
<p>Wir empfehlen Ihnen, Ihr krb5-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-266.data"
#use wml::debian::translation-check translation="ff536b78404e9cbbbac72a0340bd65e4c0441b72"
# $Id$
|
