INFSA-2024:5312: Устранение уязвимостей krb5
Информация о бюллетене
Идентификатор: INFSA-2024:5312
Тип: устранение уязвимостей
Дата публикации: 2024-08-27 10:10:01 UTC
Информация о пакете
Kerberos — это сетевой протокол аутентификации. Повышает безопасность сети, устраняя небезопасную практику отправки паролей по сети в незашифрованном виде. Позволяет клиентам и серверам аутентифицировать друг друга с помощью доверенной третьей стороны — центра распределения ключей Kerberos (KDC).
Описание уязвимостей
- CVE-2024-37370
Уязвимость MIT Kerberos 5 связана с неправильным контролем доступа. Эксплуатация уязвимости может позволить нарушителю отправить специально созданный запрос на изменение текстового поля Extra Count конфиденциального wrapped-токена GSS krb5 и представить unwrapped-токен как обрезанный для приложения.
- CVE-2024-37371
Уязвимость MIT Kerberos 5 связана с недопустимым чтением памяти во время обработки токена сообщения GSS. Эксплуатация уязвимости может позволить аутентифицированному нарушителю, действующему удалённо, вызвать отказ в обслуживании, отправляя специально созданные токены сообщений.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2024-37370
|
нет информации | 7.4 | нет информации |
|
NIST — CVE-2024-37371
|
нет информации | 6.5 | нет информации |
Обновлённые пакеты