path: root/japanese/security/2014/dsa-3000.wml

#use wml::debian::translation-check translation="f30d01b3c321cffe8811272611d8977ba52e1d38"
<define-tag description>セキュリティ更新</define-tag>
<define-tag moreinfo>
<p>複数の脆弱性が Kerberos の MIT 実装 krb5 に発見されました。The Common
Vulnerabilities and Exposures project は以下の問題を認識しています:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4341">CVE-2014-4341</a>

    <p>バッファの終端を超えて読み込もうとして不正なメモリを参照するため、正規に確立した
    GSSAPI アプリケーションセッションにパケットを差し込む能力のある、
    認証していないリモートの攻撃者がプログラムのクラッシュを引き起こすことが可能です。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4342">CVE-2014-4342</a>

    <p>バッファの終端を超えて読み込もうとして不正なメモリを参照、あるいは
    NULL ポインタ参照を引き起こすことにより、正規に確立した
    GSSAPI アプリケーションセッションにパケットを差し込む能力のある、
    認証していないリモートの攻撃者がプログラムのクラッシュを引き起こすことが可能です。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4343">CVE-2014-4343</a>

    <p>パケットを GSSAPI 
    アクセプターから来たように偽装する能力のある、認証していないリモートの攻撃者が、
    基礎となる機構としてイニシエーターが提示したものとは異なる機構を返すことにより
    SPNEGO 機構を利用している GSSAPI イニシエーター (クライアント)
    でメモリの二重開放の状況を引き起こすことが可能です。
    リモートの攻撃者がこの欠陥を悪用し、
    アプリケーションのクラッシュや潜在的には任意の\
    コードの実行を引き起こすことが可能です。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4344">CVE-2014-4344</a>

    <p>認証していないあるいは部分的に認証済みのリモートの攻撃者が、SPNEGO
    ネゴシエーション中にイニシエーターからアクセプターへの
    2回目以降のコンテキストとして空文字列を送ることにより、
    NULL ポインタ参照やアプリケーションのクラッシュを引き起こすことが可能です。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4345">CVE-2014-4345</a>

    <p>KDCデータベースに LDAP を利用するように kadmind
    が設定されている場合、認証済みのリモートの攻撃者が範囲外書き込み
    (バッファオーバーフロー) を引き起こすことが可能です。</p></li>

</ul>

<p>安定版 (stable) ディストリビューション (wheezy)
では、この問題はバージョン 1.10.1+dfsg-5+deb7u2 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 1.12.1+dfsg-7 で修正されています。</p>

<p>直ちに krb5 パッケージをアップグレードすることを勧めます。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3000.data"