Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5287-1 heimdal

Bulletin d'alerte Debian

DSA-5287-1 heimdal -- Mise à jour de sécurité

Date du rapport :

22 novembre 2022

Paquets concernés :

heimdal

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 996586.
Dans le dictionnaire CVE du Mitre : CVE-2021-3671, CVE-2021-44758, CVE-2022-3437, CVE-2022-41916, CVE-2022-42898, CVE-2022-44640.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Heimdal, une implémentation de Kerberos 5 qui vise à être compatible avec Kerberos du MIT.

• CVE-2021-3671

  Joseph Sutton a découvert que le KDC de Heimdal ne validait pas la présence du nom du serveur dans le TGS-REQ avant le déréférencement. Cela peut avoir pour conséquence un déni de service.

• CVE-2021-44758

  Heimdal est prédisposé à un déréférencement de pointeur NULL dans les accepteurs quand un jeton SPNEGO initial n'a pas de mécanisme acceptable. Cela peut avoir pour conséquence un déni de service pour une application de serveur qui utilise SPNEGO.

• CVE-2022-3437

  Plusieurs défauts de dépassement de tampon et des fuites de durée non constante ont été découverts lors de l'utilisation de 1DES, 3DES ou RC4 (arcfour).

• CVE-2022-41916

  Un accès mémoire hors limites a été découvert quand Heimdal normalise en Unicode. Cela peut avoir pour conséquence un déni de service.

• CVE-2022-42898

  Des dépassements d'entier dans l'analyse de PAC peut avoir pour conséquences un déni de service pour les KDC de Heimdal ou éventuellement pour les serveurs Heimdal.

• CVE-2022-44640

  Le compilateur ASN.1 de Heimdal génère du code qui permet des encodages DER contrefaits pour l'occasion pour invoquer une libération non valable dans la structure décodée après une erreur de décodage. Cela peut avoir pour conséquence une exécution de code à distance dans le KDC de Heimdal.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 7.7.0+dfsg-2+deb11u2.

Nous vous recommandons de mettre à jour vos paquets heimdal.

Pour disposer d'un état détaillé sur la sécurité de heimdal, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/heimdal.