blob: 9ce340cd8b867cd50a8ca2beb52ab69e12ec8ba2 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
|
#use wml::debian::translation-check translation="ff536b78404e9cbbbac72a0340bd65e4c0441b72"
<define-tag description>várias vulnerabilidades</define-tag>
<define-tag moreinfo>
<p>Várias vulnerabilidades foram descobertas no krb5, uma implementação do
MIT Kerberos.</p>
<ul>
<li>Um defeito de criptografia na versão 4 do protocolo Kerberos permite
que um atacante use um ataque de texto-plano selecionado para imitar
qualquer principal num domínio. Defeitos adicionais de criptografia
na implementação do krb4 incluídas na distribuição MIT krb5 permitem
o uso de ataques de cortar-e-colar para fabricar bilhetes krb4 para
clientes principal não autorizados se chaves três-DES forem usadas
para registrar serviços krb4. Esses ataques podem subverter toda a
infra-estrutura de autenticação Kerberos de um site.
<p>A versão 5 do Kerberos não contém essa vulnerabilidade na criptografia.
Sites que estão com Kerberos v4 totalmente desabilitado, incluindo a
desativação de qualquer serviço de tradução krb5 para krb4, não estão
vulneráveis.</p>
</li>
<li>A implementação MIT Kerberos 5 inclui uma biblioteca derivada do SUNRPC.
Ela contém checagens de comprimento, que são vulneráveis a um estouro
de inteiro, que pode ser explorado para criar negações de serviço ou
para obter acesso não autorizado a informações sensíveis.
</li>
<li>Existem problemas de buffer overrun e underrun no manuseio do principal
de nomes em casos incomuns do Kerberos, tais como nomes sem componentes,
nomes com um componente vazio, ou o serviço principal de nomes baseado
em host, sem componentes host.
</li>
</ul>
<p>
Esta versão do pacote krb5 muda o comportamento padrão e desabilita a
autenticação cross-realm da versão 4 do Kerberos. Devido a natureza do
problema, a autenticação cross-realm da versão 4 do Kerberos não pode
ser segura e sites devem evitar seu uso. Uma nova opção (-X) é fornecida
nos comandos krb5kdc e krb524d para reabilitar a autenticação cross-realm
para aqueles sites que devem usar esta funcionalidade mas desejam ter
as outras atualizações de segurança.
</p>
<p>Para a distribuição estável (woody) esse problema foi corrigido na
versão 1.2.4-5woody4.</p>
<p>A antiga distribuição estável (potato) não contém os pacotes krb5.</p>
<p>Para a distribuição estável (sid) esse problema será corrigido em breve.</p>
<p>Nós recomendamos que você atualize seu pacote krb5.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-266.data"
|