JVNDB-2010-002541

JVNDB-2010-002541
MIT Kerberos 5 における GSS トークンを偽造される脆弱性
概要
MIT Kerberos 5 は、チェックサムの適合性を適切に判定しないため、GSS トークンを偽造される、権限を取得される、またはその他の詳細不明な影響を受ける脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

MIT Kerberos Kerberos 5 1.7.x Kerberos 5 1.8.3 およびそれ以前 VMware VMware ESX 4.1 VMware ESXi 4.1 アップル Apple Mac OS X v10.5.8 Apple Mac OS X v10.6 から v10.6.6 Apple Mac OS X Server v10.5.8 Apple Mac OS X Server v10.6 から v10.6.6 オラクル Oracle Virtualization の Oracle Secure Global Desktop 4.63 Oracle Virtualization の Oracle Secure Global Desktop 4.71 Oracle Virtualization の Oracle Secure Global Desktop 5.1 Oracle Virtualization の Oracle Secure Global Desktop 5.2 Oracle Solaris 11 Express ヒューレット・パッカード HP-UX 11.11 HP-UX 11.23 HP-UX 11.31 レッドハット Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Workstation 6

想定される影響
第三者により、unkeyed チェックサム、unkeyed PAC チェックサム、または RC4 キーをベースとした KrbFastArmoredReq チェクサムを介して、GSS トークンを偽造される、権限を取得される、またはその他の詳細不明な影響を受ける可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
MIT Kerberos MIT krb5 Security Advisory : MITKRB5-SA-2010-007 VMware VMware Security Advisories : VMSA-2011-0007 アップル Apple Security Updates : HT4581 Apple セキュリティアップデート : HT4581 オラクル Oracle Critical Patch Update : July 2015 Critical Patch Update Released Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2015 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices SECURITY BLOG : cve_2010_1324_vulnerability_in SECURITY BLOG : Multiple vulnerabilities in kerberos ヒューレット・パッカード HP Security Bulletin : HPSBUX02623 レッドハット Red Hat Security Advisory : RHSA-2010:0925
CWEによる脆弱性タイプ一覧 CWEとは?
設計上の問題(CWE-DesignError) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2010-1324
参考情報
JVN : JVNVU#636925 National Vulnerability Database (NVD) : CVE-2010-1324 Secunia Advisory : SA42396 Secunia Advisory : SA42399 Secunia Advisory : SA43015 SecurityFocus : 45116 SecurityTracker : 1024803 VUPEN Security : VUPEN/ADV-2010-3094 VUPEN Security : VUPEN/ADV-2010-3095 VUPEN Security : VUPEN/ADV-2011-0187 OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 69609
更新履歴
[2010年12月22日] 掲載 [2011年02月03日] 影響を受けるシステム：ヒューレット・パッカード (HPSBUX02623) の情報を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02623) を追加 [2011年04月01日] 影響を受けるシステム：アップル (HT4581) の情報を追加ベンダ情報：アップル (HT4581) を追加 [2011年05月09日] 影響を受けるシステム：VMware (VMSA-2011-0007) の情報を追加影響を受けるシステム：オラクル (cve_2010_1324_vulnerability_in) の情報を追加ベンダ情報：VMware (VMSA-2011-0007) を追加ベンダ情報：オラクル (cve_2010_1324_vulnerability_in) を追加 [2013年11月01日] ベンダ情報：オラクル (Multiple vulnerabilities in kerberos) を追加 [2015年07月29日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加ベンダ情報：オラクル (July 2015 Critical Patch Update Released) を追加


公表日	2010/11/30
登録日	2010/12/22
最終更新日	2015/07/29

MIT Kerberos 5 における GSS トークンを偽造される脆弱性