blob: ed778ce8545d69242e8abc965e6a0f5eb739f87b (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>チェックサム検証に関する脆弱性</define-tag>
<define-tag moreinfo>
<p>MIT の Kerberos 実装 krb5 に欠陥が発見されました。</p>
<p>MIT krb5 クライアントは SAM-2 事前認証チャレンジでのキーなしのチェ
ックサムを誤って受け付けます。本人認証されていないリモートの攻撃者
が SAM-2 チャレンジを変更でき、ユーザが見るプロンプトテキストや KDC
から送付されるレスポンス種別に影響があります。ある種の状況下では、
この問題はワンタイム認証メカニズムトークンによるセキュリティ強化を
無効にすることが可能です。</p>
<p>MIT krb5 では、RC4 キーを使った RFC 3961 キー利用チェックサムを、
KRB-SAFE メッセージ検証時に誤って受け付けます。本人認証されていない
リモートの攻撃者が、対象の既存セッションが RC4 セッションキーを用い
ている場合、アプリケーションプロトコル内で KRB-SAFE なメッセージを
1/256 の確率で偽造することが可能です。但し、KRB-SAFE メッセージを用
いているアプリケーションプロトコルは少数です。</p>
<p>The Common Vulnerabilities and Exposures project ではこれらの問題に
CVE-2010-1323 の番号を与えています。</p>
<p>安定版 (stable) ディストリビューション (lenny) では、これらの問題は
バージョン 1.6.dfsg.4~beta1-5lenny6 で修正されています。</p>
<p>mips 向けビルドは今回の勧告時点では含まれていません。準備できしだい
提供予定です。
テスト版 (squeeze) および不安定版 (unstable) ディストリビューション
では、この問題はバージョン 1.8.3+dfsg-3 で修正されています。</p>
<p>直ぐに krb5 パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2129.data"
# $Id$
|
