Ubuntu 10.04 LTS/10.10 LTS/11.04 LTS/11.10:krb5の脆弱性(USN-1233-1)

high Nessus プラグイン ID 56556

概要

リモートのUbuntuホストに1つまたは複数のセキュリティ関連のパッチがありません。

説明

Nalin Dahyabhai 氏、Andrej Ota 氏、Kyle Moffett 氏は、KDC LDAP バックエンドでの NULL ポインターデリファレンスを発見しました。認証されていないリモートの攻撃者がこれを使用して、サービス拒否を引き起こす可能性があります。この問題は、Ubuntu 11.10に影響を与えました。(CVE-2011-1527)

Mark Deneen 氏は、assert() が、KDC LDAP バックエンドの krb5_ldap_lockout_audit() 関数、KDC DB2 バックエンドの krb5_db2_lockout_audit() 関数で発生する可能性があることを発見しました。認証されていないリモートの攻撃者がこれを使用して、サービス拒否を引き起こす可能性があります。(CVE-2011-1528)

KDC LDAP および DB2 バックエンドの lookup_lockout_policy() 関数で、NULL ポインターデリファレンスが発生する可能性があることが判明しました。認証されていないリモートの攻撃者がこれを使用して、サービス拒否を引き起こす可能性があります。(CVE-2011-1529)

注意: Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリからすでに直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

影響を受ける krb5-kdc および / or krb5-kdc-ldap パッケージを更新してください。

参考資料

https://usn.ubuntu.com/1233-1/

プラグインの詳細

深刻度: High

ID: 56556

ファイル名: ubuntu_USN-1233-1.nasl

バージョン: 1.13

タイプ: local

エージェント: unix

公開日: 2011/10/19

更新日: 2019/9/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

Base Score: 7.8

Temporal Score: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:krb5-kdc, p-cpe:/a:canonical:ubuntu_linux:krb5-kdc-ldap, cpe:/o:canonical:ubuntu_linux:10.04:-:lts, cpe:/o:canonical:ubuntu_linux:10.10, cpe:/o:canonical:ubuntu_linux:11.04, cpe:/o:canonical:ubuntu_linux:11.10

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/10/18

脆弱性公開日: 2011/10/20

参照情報

CVE: CVE-2011-1527, CVE-2011-1528, CVE-2011-1529

BID: 50273

USN: 1233-1