blob: 84c4f9b08e969a14558f8d939505fcf5002921f9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>В krb5, реалиазации Kerberos от MIT, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341">CVE-2014-4341</a>
<p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию
пакетов в корректно установленную сессию GSSAPI-приложения,
может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при
попытке чтения за пределами выделенного буфера.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342">CVE-2014-4342</a>
<p>Неаутентифицированный удалённый злоумышленник, способный выполнять инъекцию
пакетов в корректно установленную сессию GSSAPI-приложения,
может вызывать аварийную остановку программы из-за неправильных указаний областей памяти при
чтении за пределами выделенного буфера или из-за разыменования
null-указателя.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343">CVE-2014-4343</a>
<p>Неаутентифицированный удалённый злоумышленник, способный подделывать пакеты так, что
они кажутся исходящими от принимающей стороны GSSAPI, может вызывать состояние двойного
освобождения памяти в инициаторах GSSAPI (клиентах), использующих механизм
SPNEGO, возвращая базовый механизм, отличный от
предложенного инициатором. Удалённый злоумышленник может использовать эту уязвимость
для вызова аварийной остановки приложения или потенциального выполнения произвольного кода.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344">CVE-2014-4344</a>
<p>Неаутентифицированный или частично аутентифицированный удалённый злоумышленник может
вызывать разыменование NULL-указателя и аварийную остановку приложения в ходе согласования
SPNEGO путём отправки пустого токена в качестве второго или последующего контекстного
токена от инициатора принимающей стороне.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345">CVE-2014-4345</a>
<p>Если kadmind настроен на использование LDAP для базы данных KDC, то
аутентифицированный удалённый злоумышленник может вызывать запись за
пределами выделенного буфера (переполнение буфера).</p></li>
</ul>
<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете krb5 версии 1.8.3+dfsg-4squeeze8</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-37.data"
# $Id$
|