blob: c5722cece7189e519486dc3d163f570de869ca34 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7"
<define-tag description>LTS セキュリティ更新</define-tag>
<define-tag moreinfo>
<p>Kerberos の MIT による実装である krb5 に複数の脆弱性が発見されました。The
Common Vulnerabilities and Exposures project は以下の問題を認識しています:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341">CVE-2014-4341</a>
<p>バッファの終端を超えて読み込もうとして不正なメモリを参照するため、正規に確立した
GSSAPI アプリケーションセッションにパケットを差し込む能力のある、
認証していないリモートの攻撃者がプログラムのクラッシュを引き起こすことが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342">CVE-2014-4342</a>
<p>バッファの終端を超えて読み込もうとして不正なメモリを参照、あるいは
NULL ポインタ参照を引き起こすことにより、正規に確立した
GSSAPI アプリケーションセッションにパケットを差し込む能力のある、
認証していないリモートの攻撃者がプログラムのクラッシュを引き起こすことが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343">CVE-2014-4343</a>
<p>パケットを GSSAPI
アクセプターから来たように偽装する能力のある、認証していないリモートの攻撃者が、
基礎となる機構としてイニシエーターが提示したものとは異なる機構を返すことにより
SPNEGO 機構を利用している GSSAPI イニシエーター (クライアント)
でメモリの二重開放の状況を引き起こすことが可能です。
リモートの攻撃者がこの欠陥を悪用し、
アプリケーションのクラッシュや潜在的には任意の\
コードの実行を引き起こすことが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344">CVE-2014-4344</a>
<p>認証していないあるいは部分的に認証済みのリモートの攻撃者が、SPNEGO
ネゴシエーション中にイニシエーターからアクセプターへの
2回目以降のコンテキストとして空文字列を送ることにより、
NULL ポインタ参照やアプリケーションのクラッシュを引き起こすことが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345">CVE-2014-4345</a>
<p>KDCデータベースに LDAP を利用するように kadmind
が設定されている場合、認証済みのリモートの攻撃者が範囲外書き込み
(バッファオーバーフロー) を引き起こすことが可能です。</p></li>
</ul>
<p>Debian 6<q>Squeeze</q>では、この問題は krb5
バージョン 1.8.3+dfsg-4squeeze8 で修正されています。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-37.data"
|
