2017-1595: MIT Kerberos (krb5): Eine Schwachstelle ermöglicht nicht spezifizierte Angriffe

Historie:

Version 1 (2017-09-11 16:34)

Neues Advisory

Version 2 (2017-10-09 15:55)

Für die SUSE Linux Enterprise Produkte Software Development Kit, Desktop und Server jeweils in den Versionen 12 SP2 und 12 SP3, Server for Raspberry Pi 12 SP2, SUSE Cloud Magnum Orchestration 7 und SUSE Container as a Service (CaaS) Platform ALL stehen Sicherheitsupdates bereit.

Version 3 (2017-10-12 14:28)

Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen zur Behebung der Schwachstelle Sicherheitsupdates für 'krb5' bereit.

Betroffene Software

Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Eine Schwachstelle in MIT Kerberos (krb5) kann in bestimmten Fehlerfällen zu einer doppelten Freigabe (Double-free) von Speicher führen. In Entwicklerkreisen wird diskutiert, inwiefern dies ein Problem darstellt, weil im Falle einer erfolgten Freigabe ein Aufruf der Funktion 'gss_delete_sec_context' auf NULL erfolgen würde, wobei das Löschen von NULL einfach ignoriert werden könnte. Die Schwachstelle kann möglicherweise von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um die Speicherintegrität zu stören.

Für Fedora 25, 26 und 27 stehen die Pakete 'krb5-1.14.4-9.fc25', 'krb5-1.15.1-28.fc26' und 'krb5-1.15.1-28.fc27' als Sicherheitsupdates zur Verfügung, durch die verhindert werden soll, dass Anwendungen versehentlich die Schwachstelle CVE-2017-11462 implementieren. Das Paket für Fedora 26 befindet sich bereits im Status 'stable', während die anderen beiden Sicherheitsupdate noch den Status 'testing' besitzen.

Schwachstellen:

CVE-2017-11462

Schwachstelle in MIT Kerberos ermöglicht potenziell Speicherfehler

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.