1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
|
#use wml::debian::translation-check translation="f30d01b3c321cffe8811272611d8977ba52e1d38" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В krb5, реализации Kerberos от MIT, были обнаружены
несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341">CVE-2014-4341</a>
<p>Неаутентифицированный удалённый злоумышленник, способный ввести
пакеты в корректно установленную сессию GSSAPI приложения,
может вызвать аварийное завершение работы программы из-за неправильных указателей памяти при
попытке чтения за пределами буфера.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342">CVE-2014-4342</a>
<p>Неаутентифицированный удалённый злоумышленник, способный ввести
пакеты в корректно установленную сессию GSSAPI приложения,
может вызвать аварийное завершение работы программы из-за неправильный указателей памяти при
чтении за пределами буфера, либо из-за разыменования
null-указателя.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343">CVE-2014-4343</a>
<p>Неаутентифицированный удалённый злоумышленник, способный подделать пакеты так,
чтобы они казались пакетами принимающего GSSAPI, может вызвать состояние двойного
освобождения в инициаторах (клиентах) GSSAPI, которые используют механизм SPNEGO,
возвратив отличный от предложенного инициатором базовый
механизм. Удалённый злоумышленник может использовать данную уязвимость для
вызова аварийного завершения работы приложения или потенциального выполнения произвольного кода.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344">CVE-2014-4344</a>
<p>Неаутентифицированный или частично аутентифицированный удалённый злоумышленник может
вызвать разыменование NULL и аварийное завершение работы приложения во время согласования SPNEGO,
отправив пустой токен в качестве второго или более позднего токена
контекста от инициатора к принимающему.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345">CVE-2014-4345</a>
<p>Если kadmind настроен на использование LDAP для базы данных KDC, то аутентифицированный
удалённый злоумышленник может вызвать чтение
за пределами массива (переполнение буфера).</p></li>
</ul>
<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.10.1+dfsg-5+deb7u2.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.12.1+dfsg-7.</p>
<p>Рекомендуется обновить пакеты krb5.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3000.data"
# $Id$
|
