Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-313 Actualización de Conectiva para krb5.

Conectiva liberó una actualización para krb5. Esta repara varias vulnerabilidades que pueden explotarse para ocasionar una negación de servicio (DoS) o posiblemente comprometer un sistema vulnerable.

  • Fecha de Liberación: 9-Ago-2005
  • Fuente:

    Conectiva Linux Advisory
    CLSA-2005:993

  • CVE ID: CAN-2005-1174 CAN-2005-1175 CAN-2005-1689
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Buffer overflow

Sistemas Afectados

Conectiva 10 Krb5 1.3.3
Conectiva 9 Krb5 1.2.7
  1. Descripción

    Conectiva liberó una actualización para krb5. Esta repara varias vulnerabilidades que pueden explotarse por personas maliciosas para ocasionar una negación de servicio (DoS) o posiblemente comprometer un sistema vulnerable.

    1. Un error de doble liberación de memoria en la función "krb5_recvauth()" puede ser explotado para ejecutar código arbitrario en el contexto del programa que llamo a dicha función.

    2. Un error en la implementación del Key Distribution Center (KDC) ocasiona liberación de memoria en localidades aleatorias, con esto se puede realizar una corrupción de la memoria vía una petición TCP maliciosa, provocando la caída del KDC.

    3. Un error de frontera en el KDC puede ocasionar un desbordamiento de memoria vía una petición TCP o UDP malicosa. Esto podria ser explotado para ejecutar código arbitrario.

    4. Impacto

      Negación de servicio (DoS).

      Acceso al sistema.

    5. Solución

      Aplicar los paquetes actualizados.

      -- Conectiva Linux 10 --

      ftp://atualizacoes.conectiva.com.br/10/SRPMS/krb5-1.3.3-62470U10_6cl.src.rpm
      ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-1.3.3-62470U10_6cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-apps-clients-1.3.3-62470U10_6cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-apps-servers-1.3.3-62470U10_6cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-client-1.3.3-62470U10_6cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-devel-1.3.3-62470U10_6cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-devel-static-1.3.3-62470U10_6cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-doc-1.3.3-62470U10_6cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-server-1.3.3-62470U10_6cl.i386.rpm

      -- Conectiva Linux 9 --

      ftp://atualizacoes.conectiva.com.br/9/SRPMS/krb5-1.2.7-28721U90_7cl.src.rpm
      ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-1.2.7-28721U90_7cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-apps-clients-1.2.7-28721U90_7cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-apps-servers-1.2.7-28721U90_7cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-client-1.2.7-28721U90_7cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-devel-1.2.7-28721U90_7cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-devel-static-1.2.7-28721U90_7cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-doc-1.2.7-28721U90_7cl.i386.rpm
      ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-server-1.2.7-28721U90_7cl.i386.rpm
    6. Apéndices

      Mayor información.

      http://distro.conectiva.com.br/atualizacoes/

    La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

    • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

    UNAM-CERT
    Equipo de Respuesta a Incidentes UNAM
    Coordinación de Seguridad de la Información

    incidentes at seguridad.unam.mx
    phishing at seguridad.unam.mx
    http://www.cert.org.mx
    http://www.seguridad.unam.mx
    ftp://ftp.seguridad.unam.mx
    Tel: 56 22 81 69
    Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT