blob: 08f931c1aafbe7f4a9a20c840ed7eb23f3f88721 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
|
#use wml::debian::translation-check translation="ff536b78404e9cbbbac72a0340bd65e4c0441b72"
<define-tag description>varias vulnerabilidades</define-tag>
<define-tag moreinfo>
<p>Se han descubierto varias vulnerabilidades en krb5, una implementación
del Kerberos del MIT.</p>
<ul>
<li> Una debilidad en el cifrado en la versión 4 del protocolo Kerberos
permitía a un atacante usar un ataque de texto plano elegido para no
personificar ningún principal en un dominio. Una debilidad adicional en
el cifrado en la implementación krb4 permitía el uso de ataques de
copiar y pegar para fabricar tickets krb4 para clientes principales no
autorizados si se usaban claves DES triples en los servicios de claves
de krb4. Estos ataques podían comprometer la infraestructura de
autentificación al completo de un sitio con Kerberos.
<p> Kerberos version 5 no contiene esta vulnerabilidad en el cifrado.
Los sitios no son vulnerables si tienen Kerberos v4 completamente
desactivado, incluyendo la desactivación de cualquier servicio de
traducción de krb5 a krb4.</li>
<li> La implemetación Kerberos 5 del MIT incluye una biblioteca RPC
derivada de SUNRPC. La implementación contiene comprobaciones de
longitud que son vulnerables a un desbordamiento de entero, lo que podía
ser explotable para crear denegaciones de servicio u obtener acceso no
autorizado a información sensible.</li>
<li> Los problemas de desbordamiento por encima y por debajo existentes en
la gestión del nombre principal en casos poco frecuentes, como nombres
con cero componentes, nombres con un componente vacío o servicio de
nombres principales basado en máquinas sin componente de nombre de
máquina.</li>
</ul>
<p>
Esta versión de los paquetes de krb5 cambian el comportamiento
predeterminado y desactiva la autentificación cross-realm para Kerberos
versión 4. Debido a la naturaleza fundamental de este problema, no se
puede asegurar la autentificación cross-realm en Kerberos versión 4 y los
sitios deberían evitar su uso. Se proporciona una opción nueva (-X) para
los comandos krb5kdc y krb524d para reactivar la autentificación cross-real
versión 4 en aquellos sitios que deban usar esta funcionalidad pero deseen
las otras correcciones de seguridad.
</p>
<p>Para la distribución estable (woody), este problema se ha corregido en
la versión 1.2.4-5woody4.</p>
<p> La distribución estable anterior (potato) no contiene los paquetes de
krb5.</p>
<p>Para la distribución inestable (sid), este problema se corregirá en
breve.</p>
<p>Le recomendamos que actualice el paquete krb5.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-266.data"
|