JVNDB-2013-002843

JVNDB-2013-002843
MIT Kerberos の kadmind におけるサービス運用妨害 (DoS) の脆弱性
概要
MIT Kerberos 5 (別名 krb5) の kadmind の kpasswd サービス内の schpw.c は、レスポンスを送信する前に UDP パケットを適切に検証しないため、サービス運用妨害 (CPU および帯域幅消費) 状態にされる脆弱性が存在します。本脆弱性は、CVE-1999-0103 と関連する問題です。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

MIT Kerberos Kerberos 5 1.11.3未満

想定される影響
第三者により、通信ループを誘発する偽造されたパケットを介して、サービス運用妨害 (CPU および帯域幅消費) 状態にされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Debian Debian Security Advisory : DSA-2701 Mandriva, Inc. Security Advisories : MDVSA-2013:166 MIT Kerberos GitHub : Fix kpasswd UDP ping-pong [CVE-2002-2443] RT/krbdev.mit.edu : Ticket #7637 Fix kpasswd UDP ping-pong [CVE-2002-2443] Novell opensuse-updates : openSUSE-SU-2013:1119 opensuse-updates : openSUSE-SU-2013:1122 オラクル SECURITY BLOG : CVE-2002-2443 Denial of Service vulnerability in Kerberos レッドハット Red Hat Bugzilla : Bug 962531 Red Hat Security Advisory : RHSA-2013:0942
CWEによる脆弱性タイプ一覧 CWEとは?
不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2002-2443
参考情報
National Vulnerability Database (NVD) : CVE-2002-2443
更新履歴
[2013年05月30日] 掲載 [2013年10月30日] CWE による脆弱性タイプ一覧：内容を更新ベンダ情報：Debian (DSA-2701) を追加ベンダ情報：Mandriva, Inc. (MDVSA-2013:166) を追加ベンダ情報：Novell (openSUSE-SU-2013:1119) を追加ベンダ情報：Novell (openSUSE-SU-2013:1122) を追加ベンダ情報：オラクル (CVE-2002-2443 Denial of Service vulnerability in Kerberos) を追加ベンダ情報：レッドハット (RHSA-2013:0942) を追加


公表日	2013/05/13
登録日	2013/05/30
最終更新日	2013/10/30

MIT Kerberos の kadmind におけるサービス運用妨害 (DoS) の脆弱性