Kurzinfo CB-K17/1533 Update 2

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: MIT Kerberos (krb5): Eine Schwachstelle ermöglicht nicht spezifizierte Angriffe
Datum: 12.10.2017
Software: MIT Kerberos 5
Plattform: SUSE Container-as-a-Service-(CaaS)-Plattform ALL, SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE OpenStack Cloud 7, openSUSE Leap 42.2, openSUSE Leap 42.3, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, SUSE Linux Enterprise Server 12 SP3, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27
Auswirkung: Nicht spezifiziert
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2017-11462
Bezug: Fedora Security Update FEDORA-2017-7a22a80c7e (Fedora 27, krb5-1.15.1-28.fc27)
Revisions Historie
  • Version: 3

    Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen zur Behebung der Schwachstelle Sicherheitsupdates für 'krb5' bereit.

  • Version: 2

    Für die SUSE Linux Enterprise Produkte Software Development Kit, Desktop und Server jeweils in den Versionen 12 SP2 und 12 SP3, Server for Raspberry Pi 12 SP2, SUSE Cloud Magnum Orchestration 7 und SUSE Container as a Service (CaaS) Platform ALL stehen Sicherheitsupdates bereit.

  • Version: 1

    Neues Advisory

Beschreibung

Kerberos ist ein Authentifizierungsprotokoll für Netzwerke. Die Software stammt vom Massachusetts Institute of Technology (MIT).

Eine Schwachstelle in MIT Kerberos (krb5) kann in bestimmten Fehlerfällen zu einer doppelten Freigabe (Double-free) von Speicher führen. In Entwicklerkreisen wird diskutiert, inwiefern dies ein Problem darstellt, weil im Falle einer erfolgten Freigabe ein Aufruf der Funktion 'gss_delete_sec_context' auf NULL erfolgen würde, wobei das Löschen von NULL einfach ignoriert werden könnte. Die Schwachstelle kann möglicherweise von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um die Speicherintegrität zu stören. Für Fedora 25, 26 und 27 stehen die Pakete 'krb5-1.14.4-9.fc25', 'krb5-1.15.1-28.fc26' und 'krb5-1.15.1-28.fc27' als Sicherheitsupdates zur Verfügung, durch die verhindert werden soll, dass Anwendungen versehentlich die Schwachstelle CVE-2017-11462 implementieren. Das Paket für Fedora 26 befindet sich bereits im Status 'stable', während die anderen beiden Sicherheitsupdate noch den Status 'testing' besitzen.

  1. Schwachstelle CVE-2017-11462 (NVD)

  2. Fedora Security Update FEDORA-2017-10c74147f9 (Fedora 26, krb5-1.15.1-28.fc26)

  3. Fedora Security Update FEDORA-2017-56e23bc2b5 (Fedora 25, krb5-1.14.4-9.fc25)

  4. Fedora Security Update FEDORA-2017-7a22a80c7e (Fedora 27, krb5-1.15.1-28.fc27)

  5. SUSE Security Update SUSE-SU-2017:2659-1

  6. openSUSE Security Update openSUSE-SU-2017:2712-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.