[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:02135] セキュリティ情報◆[OSA-2010-020] krb5

To: "orca-announce@xxxxxxxxxxxxxx" <orca-announce@xxxxxxxxxxxxxx>
Subject: [ORCA-ANNOUNCE:02135] セキュリティ情報◆[OSA-2010-020] krb5
From: ORCAプロジェクトからのお知らせ <orca-announce@xxxxxxxxxxxxxx>
Date: Fri, 17 Dec 2010 10:56:16 +0900

ORCAサポートセンタです。いつもお世話になっています。

本日、下記、セキュリティアップデートパッケージを提供しました。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2010-020    security _at_ orca.med.or.jp
http://www.orca.med.or.jp/orca/security/                         2010/12/17
---------------------------------------------------------------------------

Package         : krb5
Vulnerability   : 複数の脆弱性
Problem type    : (ローカル) リモート
Debian-specific : いいえ
CVE ID          : CVE-2010-1321 CVE-2010-1323

MIT の Kerberos 実装 krb5 に欠陥が発見されました。

CVE-2010-1321

 Shawn Emery さんにより、ネットワークでのユーザやサービスの認証を行うシス
 テム  MIT Kerberos 5 (krb5) の Generic Security Service Application
 Program Interface (GSS-API) ライブラリにヌルポインタ参照の欠陥が発見され
 ました。チェックサムフィールドを欠く、細工した GSS-API トークンを送るこ
 とで、認証済みのリモートの攻撃者から GSS-API 認証機構を用いたアプリケー
 ションをクラッシュさせることが可能です。

CVE-2010-1323

 MIT krb5 クライアントは SAM-2 事前認証チャレンジでのキーなしのチェ
 ックサムを誤って受け付けます。本人認証されていないリモートの攻撃者
 が SAM-2 チャレンジを変更でき、ユーザが見るプロンプトテキストや KDC
 から送付されるレスポンス種別に影響があります。ある種の状況下では、
 この問題はワンタイム認証メカニズムトークンによるセキュリティ強化を
 無効にすることが可能です。
 
 MIT krb5 では、RC4 キーを使った RFC 3961 キー利用チェックサムを、
 KRB-SAFE メッセージ検証時に誤って受け付けます。本人認証されていない
 リモートの攻撃者が、対象の既存セッションが RC4 セッションキーを用い
 ている場合、アプリケーションプロトコル内で KRB-SAFE なメッセージを
 1/256 の確率で偽造することが可能です。但し、KRB-SAFE メッセージを用
 いているアプリケーションプロトコルは少数です。
 
ディストリビューション(etch)では、この問題はバージョン  1.4.4-7orca.etch9 
で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

   deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free

   apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

   apt-get update
           を実行して内部データベースを更新し、
   apt-get upgrade
     によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 4.0 alias etch
---------------------------------
 ソースアーカイブ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5_1.4.4-7orca.etch9.dsc
       Size/MD5 checksum: 649 68c1d7196ab0ee7737bd3ccd12e1651e
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5_1.4.4.orig.tar.gz
       Size/MD5 checksum: 11017910 a675e5953bb8a29b5c6eb6f4ab0bb32a
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5_1.4.4-7orca.etch9.diff.gz
       Size/MD5 checksum: 1595792 4c6df7355a1fc2b92021c31121db88e2

 アーキテクチャ非依存コンポーネント:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5-doc_1.4.4-7orca.etch9_all.deb
       Size/MD5 checksum: 1817026 b2ff65165d10943295741ee88dd4a0ec

 Intel IA-32 アーキテクチャ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/libkadm55_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 174820 a0007e3827d462128efed9745a309e75
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/libkrb53_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 408404 6af2497c1b1a2b474d75f7f76cf3c694
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5-user_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 124522 b0d180facf2c9a3c437b77a0363a9e41
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5-clients_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 199174 45367e4504e78e73b97e3f62cc76d145
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5-rsh-server_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 80880 25ccb34a3aa572fa40d895b2cbba3c05
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5-ftpd_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 58804 30a201a01a6d2b0c74a8d25e58930c44
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5-telnetd_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 62532 4a4b1b10fda8c14357d49151781dbbcf
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5-kdc_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 134478 b9144f13dc24456dfded66aebd8f9bf0
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/krb5-admin-server_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 78322 7cc4260d183304ee15042acc6cf81034
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/libkrb5-dev_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 682740 7f9515e24c646e431ae55c85db481c21
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/k/krb5/libkrb5-dbg_1.4.4-7orca.etch9_i386.deb
       Size/MD5 checksum: 1037894 690e3386771e6c7ac9580c2e3917e749

 これらのファイルは次のアップデートがリリースされると削除されます。

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358

Prev by Date: [ORCA-ANNOUNCE:02134] 地域公費更新◆日医標準レセプトソフト更新情報(長崎)
Next by Date: [ORCA-ANNOUNCE:02136] セキュリティ情報◆[OSA 2010-021] exim
Previous by thread: [ORCA-ANNOUNCE:02134] 地域公費更新◆日医標準レセプトソフト更新情報(長崎)
Next by thread: [ORCA-ANNOUNCE:02136] セキュリティ情報◆[OSA 2010-021] exim
Index(es):
- Date
- Thread