JVNDB-2012-002643

MIT Kerberos の kadmind のcheck_1_6_dummy 関数におけるサービス運用妨害 (DoS) の脆弱性

MIT Kerberos の kadmind の lib/kadm5/srv/svr_principal.c 内の check_1_6_dummy 関数には、サービス運用妨害 (NULL ポインタデリファレンスおよびデーモンクラッシュ) 状態となる脆弱性が存在します。

MIT Kerberos

• Kerberos 5 1.8.x
• Kerberos 5 1.9.x
• Kerberos 5 1.10.2 未満の 1.10.x

リモート認証された管理者により、パスワードのない KRB5_KDB_DISALLOW_ALL_TIX (属性定数の一つ) の作成要求を介して、サービス運用妨害 (NULL ポインタデリファレンスおよびデーモンクラッシュ) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Mandriva, Inc.

• Security Advisories : MDVSA-2012:102

MIT Kerberos

• GitHub : Null pointer deref in kadmind [CVE-2012-1013]
• MIT Kerberos : Kerberos 5 Release 1.10.2
• RT/krbdev.mit.edu : Ticket #7152 Null pointer deref in kadmind [CVE-2012-1013]

openSUSE project

• opensuse-updates : openSUSE-SU-2012:0834-1

レッドハット

• Red Hat Bugzilla : Bug 827517
• Red Hat Security Advisory : RHSA-2012:1131

1. その他(CWE-Other) [NVD評価]

1. CVE-2012-1013

1. National Vulnerability Database (NVD) : CVE-2012-1013

• [2012年06月11日]
    掲載
  [2012年07月24日]
    ベンダ情報：Mandriva, Inc. (MDVSA-2012:102) を追加
    ベンダ情報：openSUSE (openSUSE-SU-2012:0834-1) を追加
  [2012年11月13日]
    ベンダ情報：レッドハット (RHSA-2012:1131) を追加