【活用ガイド】

JVNDB-2011-001386

MIT Kerberos 5 KDC に double free の脆弱性

概要

MIT Kerberos 5 に同梱されている Key Distribution Center (KDC) には、脆弱性が存在します。

MIT Keberos 5 に同梱されている KDC には、double free の脆弱性が存在します。Public Key Cryptography for Initial Authentication (PKINIT) 機能が有効の場合のみ、本脆弱性の影響を受けます。

MIT のアドバイザリ (MIT krb5 Security Advisory 2011-003) には、以下のように記載されています。

"The MIT Kerberos 5 Key Distribution Center (KDC) daemon is vulnerable to a double-free condition if the Public Key Cryptography for Initial Authentication (PKINIT) capability is enabled, resulting in daemon crash or arbitrary code execution (which is believed to be difficult)."
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.6 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


MIT Kerberos
  • Kerberos 5 1.7 およびそれ以降
レッドハット
  • Red Hat Enterprise Linux Desktop 6 
  • Red Hat Enterprise Linux HPC Node 6 
  • Red Hat Enterprise Linux Server 6 
  • Red Hat Enterprise Linux Workstation 6 

想定される影響

遠隔の第三者によって、KDC daemon をクラッシュさせられたり、任意のコードを実行されたりする可能性があります。
対策

[パッチを適用する]
本脆弱性を修正した krb5-1.7 系、 krb5-1.8 系および krb5-1.9 系の製品が公開されるまでの間、MIT が提供するパッチを適用してください。
ベンダ情報

MIT Kerberos オラクル レッドハット
CWEによる脆弱性タイプ一覧  CWEとは?

  1. リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2011-0284
参考情報

  1. JVN : JVNVU#943220
  2. National Vulnerability Database (NVD) : CVE-2011-0284
  3. US-CERT Vulnerability Note : VU#943220
  4. Secunia Advisory : SA43783
  5. Secunia Advisory : SA43760
  6. SecurityFocus : 46881
  7. ISS X-Force Database : 66101
  8. SecurityTracker : 1025216
  9. VUPEN Security : VUPEN/ADV-2011-0672
  10. VUPEN Security : VUPEN/ADV-2011-0680
  11. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 71183
更新履歴

  • [2011年04月21日]
      掲載
    [2013年11月01日]
      ベンダ情報:オラクル (CVE-2011-0284 Resource Management Errors vulnerability in kerberos) を追加

公表日2011/03/16
登録日2011/04/21
最終更新日2013/11/01