偵測

FreeBSD:krb5 -- kadmind、libgssrpc、gss_process_context_token VU#540092 中的弱點 (3a888a1e-b321-11e4-83b2-206a8a720317)

low Nessus Plugin ID 81331

語系:

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

MIT Kerberos 團隊報告:

CVE-2014-5353:在 1.13.1 版之前的 MIT Kerberos 5 (即 krb5) 中,當 KDC 使用 LDAP 時,plugins/kdb/ldap/libkdb_ldap/ldap_pwd_policy.c 中的 krb5_ldap_get_password_policy_from_dn 函式允許遠端經驗證使用者透過無結果的成功 LDAP 查詢造成拒絕服務 (程序損毀),針對密碼原則使用不正確的物件類型即為一例。

CVE-2014-5354:在 MIT Kerberos 5 (即 krb5) 1.12.x 版和 1.13.1 版之前的 1.13.x 版中,當 KDC 使用 LDAP 時,plugins/kdb/ldap/libkdb_ldap/ldap_principal2.c 允許遠端經驗證使用者透過為無索引鍵的主體建立資料庫項目來造成拒絕服務 (NULL 指標解除參照與程序損毀),kadmin 'add_principal -nokey' 或 'purgekeys -all' 命令即為一例。

解決方案

更新受影響的套件。

另請參閱

http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2015-001.txt

http://www.nessus.org/u?c93b0dab

Plugin 詳細資訊

嚴重性: Low

ID: 81331

檔案名稱: freebsd_pkg_3a888a1eb32111e483b2206a8a720317.nasl

版本: 1.6

類型: local

已發布: 2015/2/13

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Low

基本分數: 3.5

媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:krb5, p-cpe:/a:freebsd:freebsd:krb5-111, p-cpe:/a:freebsd:freebsd:krb5-112, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2015/2/12

弱點發布日期: 2015/2/12

參考資訊

CVE: CVE-2014-5353, CVE-2014-5354