krb5-1.10.3-10.AXS4.1
エラータID: AXSA:2013-280:01
以下項目について対処しました。
[Security Fix]
- krb5 の Key Distribution Center (KDC) の PKINIT 実装の plugins/preauth/pkinit/pkinit_srv.c の pkinit_server_return_padata 関数は,不適切な状況で agility KDF 識別子を検索し,巧妙に細工された Draft 9 リクエストによって,リモートの攻撃者がサービス拒否 (ヌルポインタ逆参照とデーモンのクラッシュ) を引き起こす脆弱性があります。(CVE-2012-1016)
- krb5 の Key Distribution Center (KDC) の PKINIT 実装の plugins/preauth/pkinit/pkinit_crypto_openssl.c の pkinit_check_kdc_pkid 関数は,X.509 証明書からフィールドを抽出している際に適切にエラーを処理しておらず,不正な KRB5_PADATA_PK_AS_REQ AS-REQ リクエストによって,リモートの攻撃者がサービス拒否 (ヌルポインタ逆参照とデーモンのクラッシュ) を引き起こす脆弱性があります。(CVE-2013-1415)
[Bug Fix]
- krb5 がアップストリームのバージョン 1.10.3 にアップグレードし,多くのバグ修正とクロスドメイントラスト機能のサポートを提供します。
- libsmbclient パッケージが誤ってもはやサポートされていない krb5_locate_kdc() 関数に依存しており,libsmbclient の古いバージョンを用いているアプリケーションが Kerberos ライブラリのアップデート後に互換性がなくなってしまう問題を修正しました。
- krb5-auth-dialog アプリケーションが使用され,プロンプタが長い時間ハングしたままの場合,大きな時間のずれが誤って記録されてしまい,この時間のずれが次の kinit のセッションに適用され, klist 関数が誤った期限切れの時間を報告する問題を修正しました。
- PKINIT クライアントの trusted root のリストが KDC の証明書を含んでいる場合,特定の KDC 実装がそういった署名されたデータ構造の証明書のリストからのアンカーを省略してしまい,クライアントが署名されたデータの KDC の署名を検証するのに失敗してしまう問題を修正しました。
- keytab ファイルが Advanced Encryption Standard (AES) キーを含んでいない場合,keytab ファイルとともに kinit コマンドを使用しようとするとしばしば失敗し,keytab にAES が含まれていないのにも関わらず,AES がデフォルトで選択され,mismatch エラーが生じる問題を修正しました。
- krb5 パッケージがタイムアウト値を適切に処理できず,特定の場合でタイムアウト値が負数になってしまい,レスポンスを確認する間にクライアントがループに入ってしまう問題を修正しました。
- passwd が Identity Management クライアントを使用している場合,次のメッセージを表示して実行に失敗してしまう問題を修正しました。
token manipulation error
- リプレイキャッシュをフラッシュする度に,新しく作成された置き換えのリプレイキャッシュファイルへ正しいラベルを適用するのを保証するためファイルコンテクストの設定をリロードしてしまい,認証を許可したりリプレイキャッシュを使用するアプリケーションに大きなパフォーマンスの低下が生じる問題を修正しました。
パッケージをアップデートしてください。
The pkinit_server_return_padata function in plugins/preauth/pkinit/pkinit_srv.c in the PKINIT implementation in the Key Distribution Center (KDC) in MIT Kerberos 5 (aka krb5) before 1.10.4 attempts to find an agility KDF identifier in inappropriate circumstances, which allows remote attackers to cause a denial of service (NULL pointer dereference and daemon crash) via a crafted Draft 9 request.
The pkinit_check_kdc_pkid function in plugins/preauth/pkinit/pkinit_crypto_openssl.c in the PKINIT implementation in the Key Distribution Center (KDC) in MIT Kerberos 5 (aka krb5) before 1.10.4 and 1.11.x before 1.11.1 does not properly handle errors during extraction of fields from an X.509 certificate, which allows remote attackers to cause a denial of service (NULL pointer dereference and daemon crash) via a malformed KRB5_PADATA_PK_AS_REQ AS-REQ request.
N/A
SRPMS
- krb5-1.10.3-10.AXS4.1.src.rpm
MD5: 6d8e76960758960aced22e27b5ade819
SHA-256: 3f64eeca1dba73424fefe8880a3bad1405533a5b01e5016e8d3bb3d6ff1a86f0
Size: 11.48 MB
Asianux Server 4 for x86
- krb5-devel-1.10.3-10.AXS4.1.i686.rpm
MD5: 8b5490b334d9aca7e9a49f6c31c12e8c
SHA-256: a813e3fe665845154a56997a85ea4b3d1a1d3461a27ff07ffd75fbfb77e6d545
Size: 492.19 kB - krb5-libs-1.10.3-10.AXS4.1.i686.rpm
MD5: 254d740854b2ada2a466383991731f15
SHA-256: 4213a819b36fb28335a3fb0073147d6a983c0864a523456893d61c037ab138e4
Size: 767.64 kB - krb5-pkinit-openssl-1.10.3-10.AXS4.1.i686.rpm
MD5: 621cb805640999c72bf647736bf36ba2
SHA-256: 37c6715250c6fc487644c51cfdb48a22e957b19aa1d7893745f9a5ef69e25344
Size: 116.46 kB - krb5-server-1.10.3-10.AXS4.1.i686.rpm
MD5: 50f26aa252b555b20d2e5689638135fe
SHA-256: 3ab5d503dbbf2ca1bdb63b91171449cfa6e601cf6faba2528259119cada453e1
Size: 1.98 MB - krb5-server-ldap-1.10.3-10.AXS4.1.i686.rpm
MD5: 8ef8c0cbbdebfd42331d5df7226992d9
SHA-256: d28e549893e6a3b95d0cd68451a46d4da5d4e7718f686d4248d2c6e9a20d9435
Size: 150.48 kB - krb5-workstation-1.10.3-10.AXS4.1.i686.rpm
MD5: 50b117a94318c3ecc77e5c4ef712bf16
SHA-256: 02c438c863243702a5c5c133ef7dd83a099f0253f5f37fa8354daa455f110636
Size: 800.82 kB
Asianux Server 4 for x86_64
- krb5-devel-1.10.3-10.AXS4.1.x86_64.rpm
MD5: 77c7419404bc426ee1af9edb9ba2011c
SHA-256: 6f0f16045ee2d6b1d66d8479ebcd4608bf985512e1af1bdb66b72d5d84698b81
Size: 492.93 kB - krb5-libs-1.10.3-10.AXS4.1.x86_64.rpm
MD5: 823292afb0844fdff8bdf9a8fb140b2e
SHA-256: e2d8cfe7fccb6ed2f8da49f98746c61a6ba68ee59cf1ab26d07b49d2cdbcf16a
Size: 758.94 kB - krb5-pkinit-openssl-1.10.3-10.AXS4.1.x86_64.rpm
MD5: cb11d23a84aeaabaf6fe54f1f872cd44
SHA-256: 474acb8d3481c8a522255d5724d38ac93a5708665e354db4673f1aeda66934fb
Size: 116.26 kB - krb5-server-1.10.3-10.AXS4.1.x86_64.rpm
MD5: b416a96e027be41a3bcd257daf4a6ac7
SHA-256: a672b594b459fd34498aa96ada8268031da99d869f84a2b07d322ac8dbf0764f
Size: 1.98 MB - krb5-server-ldap-1.10.3-10.AXS4.1.x86_64.rpm
MD5: fa8de9fdfc01d4b4c426cb4069f5994c
SHA-256: 96cfa0cc0a102a2788b9ce36d69bd24bf0616ce6bcca0fbbcc9e4ab048d187d3
Size: 150.39 kB - krb5-workstation-1.10.3-10.AXS4.1.x86_64.rpm
MD5: 21ee59d26b8ed0fcde6d093987488a16
SHA-256: 7287e77a33dbc6e960ccc2405807f4786515c473b89064629ed138eb48a1bb1b
Size: 803.31 kB - krb5-devel-1.10.3-10.AXS4.1.i686.rpm
MD5: 8b5490b334d9aca7e9a49f6c31c12e8c
SHA-256: a813e3fe665845154a56997a85ea4b3d1a1d3461a27ff07ffd75fbfb77e6d545
Size: 492.19 kB - krb5-libs-1.10.3-10.AXS4.1.i686.rpm
MD5: 254d740854b2ada2a466383991731f15
SHA-256: 4213a819b36fb28335a3fb0073147d6a983c0864a523456893d61c037ab138e4
Size: 767.64 kB - krb5-server-ldap-1.10.3-10.AXS4.1.i686.rpm
MD5: 8ef8c0cbbdebfd42331d5df7226992d9
SHA-256: d28e549893e6a3b95d0cd68451a46d4da5d4e7718f686d4248d2c6e9a20d9435
Size: 150.48 kB