Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1533 Update 2

Risikostufe 2

Titel:MIT Kerberos (krb5): Eine Schwachstelle ermöglicht nicht spezifizierte AngriffeDatum:12.10.2017Software:MIT Kerberos 5Plattform:SUSE Container-as-a-Service-(CaaS)-Plattform ALL, SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE OpenStack Cloud 7, openSUSE Leap 42.2, openSUSE Leap 42.3, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, SUSE Linux Enterprise Server 12 SP3, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27Auswirkung:Nicht spezifiziertRemoteangriff:JaRisiko:niedrigCVE Liste:CVE-2017-11462Bezug: Fedora Security Update FEDORA-2017-7a22a80c7e (Fedora 27, krb5-1.15.1-28.fc27)

Beschreibung

Kerberos ist ein Authentifizierungsprotokoll für Netzwerke. Die Software stammt vom Massachusetts Institute of Technology (MIT).

Eine Schwachstelle in MIT Kerberos (krb5) kann in bestimmten Fehlerfällen zu einer doppelten Freigabe (Double-free) von Speicher führen. In Entwicklerkreisen wird diskutiert, inwiefern dies ein Problem darstellt, weil im Falle einer erfolgten Freigabe ein Aufruf der Funktion 'gss_delete_sec_context' auf NULL erfolgen würde, wobei das Löschen von NULL einfach ignoriert werden könnte. Die Schwachstelle kann möglicherweise von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um die Speicherintegrität zu stören. Für Fedora 25, 26 und 27 stehen die Pakete 'krb5-1.14.4-9.fc25', 'krb5-1.15.1-28.fc26' und 'krb5-1.15.1-28.fc27' als Sicherheitsupdates zur Verfügung, durch die verhindert werden soll, dass Anwendungen versehentlich die Schwachstelle CVE-2017-11462 implementieren. Das Paket für Fedora 26 befindet sich bereits im Status 'stable', während die anderen beiden Sicherheitsupdate noch den Status 'testing' besitzen.