JVNDB-2010-001501

MIT Kerberos 5 の GSS-API  ライブラリにおけるサービス運用妨害 (DoS) の脆弱性

MIT Kerberos 5 の GSS-API ライブラリにある kg_accept_krb5 関数には、不正な GSS-API トークンを適切にチェックしないため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

MIT Kerberos

• Kerberos 5 1.7.1 およびそれ以前
• Kerberos 5 1.8.2 未満

VMware

• VMware ESX 4.1
• VMware ESX 4.0
• VMware ESX 3.x
• VMware ESX 3.5
• VMware ESX 3.0.3
• VMware ESXi 
• VMware vCenter 4.1
• VMware vCenter 4.0
• VMware VirtualCenter 2.5
• VMware vSphere Update Manager 4.1
• VMware vSphere Update Manager 4.0
• VMware vSphere Update Manager 1.0

アップル

• Apple Mac OS X v10.5.8
• Apple Mac OS X v10.6.4
• Apple Mac OS X Server v10.5.8
• Apple Mac OS X Server v10.6.4

オラクル

• Oracle Database
• Oracle Fusion Middleware 11.1.1.3
• Oracle Fusion Middleware 11.1.1.4
• Oracle Fusion Middleware 11.1.1.5
• OpenSolaris
• Oracle Solaris 10 
• Oracle Solaris 8 
• Oracle Solaris 9 

サイバートラスト株式会社

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 

サン・マイクロシステムズ

• JDK 5 Update 25 およびそれ以前
• JDK 6 Update 21 およびそれ以前
• JRE 5 Update 25 およびそれ以前
• JRE 6 Update 21 およびそれ以前
• JRE 1.4.2_27 およびそれ以前
• SDK 1.4.2_27 およびそれ以前

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

レッドハット

• Red Hat Enterprise Linux Extras 4 extras 
• Red Hat Enterprise Linux Extras 4.8.z extras 
• Red Hat Enterprise Linux HPC Node Supplementary 6 
• Red Hat Enterprise Linux Server Supplementary 6 
• Red Hat Enterprise Linux Workstation Supplementary 6 
• RHEL Desktop Supplementary 5 (client) 
• RHEL Desktop Supplementary 6 
• RHEL Supplementary 5 (server) 
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

リモート認証されたユーザにより、認証子のチェックサム領域が存在しない AP-REQ メッセージを介して、サービス運用妨害 (DoS) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

MIT Kerberos

• MIT krb5 Security Advisory : MITKRB5-SA-2010-005

VMware

• VMware Security Advisories : VMSA-2010-0016
• VMware Security Advisories : VMSA-2011-0003
• VMware Security Advisories : VMSA-2011-0013

アップル

• Apple Security Updates : HT4417
• Apple Security Updates : HT4418
• Apple セキュリティアップデート : HT4417
• Apple セキュリティアップデート : HT4418

オラクル

• Oracle Critical Patch Update : cpuoct2010-175626
• Oracle Critical Patch Update : javacpuoct2010-176258
• Oracle Critical Patch Update : cpujuly2011-313328
• SECURITY BLOG : cve_2010_1321_null_pointer

サイバートラスト株式会社

• Asianux Technical Support Network : krb5-1.6.1-36.AXS3.4
• Asianux Technical Support Network : jdk-1.6.0_22
• MIRACLE LINUX アップデート情報 : 2062

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02544

レッドハット

• Red Hat Security Advisory : RHSA-2010:0423
• Red Hat Security Advisory : RHSA-2010:0770
• Red Hat Security Advisory : RHSA-2010:0807
• Red Hat Security Advisory : RHSA-2010:0873
• Red Hat Security Advisory : RHSA-2010:0935
• Red Hat Security Advisory : RHSA-2010:0987
• Red Hat Security Advisory : RHSA-2011:0152

富士通

• 富士通 : TA10-287A

1. NULL ポインタデリファレンス(CWE-476) [NVD評価]

1. CVE-2010-1321

1. JVN : JVNVU#490671
2. JVN : JVNTA10-287A
3. National Vulnerability Database (NVD) : CVE-2010-1321
4. US-CERT Technical Cyber Security Alert : TA10-287A
5. Secunia Advisory : SA39799
6. Secunia Advisory : SA39762
7. SecurityFocus : 40235
8. SecurityTracker : 1023989
9. VUPEN Security : VUPEN/ADV-2010-1177
10. VUPEN Security : VUPEN/ADV-2010-2660
11. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 64744

• [2010年06月07日]
    掲載
  [2010年07月01日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02544) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02544) を追加
  [2010年10月07日]
    影響を受けるシステム：オラクル (cve_2010_1321_null_pointer) の情報を追加
    ベンダ情報：オラクル (cve_2010_1321_null_pointer) を追加
  [2010年10月25日]
    影響を受けるシステム：アップル (HT4417) の情報を追加
    影響を受けるシステム：アップル (HT4418) の情報を追加
    影響を受けるシステム：オラクル (cpuoct2010-175626) の情報を追加
    影響を受けるシステム：オラクル (javacpuoct2010-176258) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2010:0770) の情報を追加
    ベンダ情報：アップル (HT4417) を追加
    ベンダ情報：アップル (HT4418) を追加
    ベンダ情報：オラクル (cpuoct2010-175626) を追加
    ベンダ情報：オラクル (javacpuoct2010-176258) を追加
    ベンダ情報：レッドハット (RHSA-2010:0770) を追加
  [2010年11月11日]
    ベンダ情報：ミラクル・リナックス (jdk-1.6.0_22) を追加
    ベンダ情報：レッドハット (RHSA-2010:0807) を追加
  [2010年12月07日]
    影響を受けるシステム：VMware (VMSA-2010-0016) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2010:0873) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2010:0935) の情報を追加
    ベンダ情報：VMware (VMSA-2010-0016) を追加
    ベンダ情報：レッドハット (RHSA-2010:0873) を追加
    ベンダ情報：レッドハット (RHSA-2010:0935) を追加
  [2011年01月05日]
    ベンダ情報：レッドハット (RHSA-2010:0987) を追加
  [2011年01月31日]
    ベンダ情報：レッドハット (RHSA-2011:0152) を追加
  [2011年02月28日]
    影響を受けるシステム：VMware (VMSA-2011-0003) の情報を追加
    ベンダ情報：VMware (VMSA-2011-0003) を追加
  [2011年07月29日]
    影響を受けるシステム：オラクル (cpujuly2011-313328) の情報を追加
    ベンダ情報：オラクル (cpujuly2011-313328) を追加
  [2012年12月18日]
    影響を受けるシステム：VMware (VMSA-2011-0013) の情報を追加
    ベンダ情報：VMware (VMSA-2011-0013) を追加