GLSA 200608-15: MIT Kerberos 5: Multiple local privilege escalation vulnerabilities

Опасность:	высокая
Заголовок:	MIT Kerberos 5: Multiple local privilege escalation vulnerabilities
Дата:	10.08.2006
Ошибки:	#143240
ID:	200608-15

Сводка

Some applications shipped with MIT Kerberos 5 are vulnerable to local privilege escalation.

Назначение

MIT Kerberos 5 is a suite of applications that implement the Kerberos network protocol. It is designed to provide strong authentication for client/server applications by using secret-key cryptography.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
app-crypt/mit-krb5	< 1.4.3-r3	>= 1.4.3-r3	All supported architectures

Описание

Unchecked calls to setuid() in krshd and v4rcp, as well as unchecked calls to seteuid() in kftpd and in ksu, have been found in the MIT Kerberos 5 program suite and may lead to a local root privilege escalation.

Воздействие

A local attacker could exploit this vulnerability to execute arbitrary code with elevated privileges.

Обход

There is no known workaround at this time.

Решение

All MIT Kerberos 5 users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=app-crypt/mit-krb5-1.4.3-r3"

Ссылки

• CVE-2006-3083
• CVE-2006-3084

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200608-15.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.