Уязвимость отправки старых ключей в ответе на запрос "-randkey -keepold" в функции "kadm5_randkey_principal_3" в kadmind MIT Kerberos 5 (krb5), позволяющая аутентифицированным злоумышленникам подделывать тикеты
Описание
Обнаружена уязвимость в функции kadm5_randkey_principal_3 в файле lib/kadm5/srv/svr_principal.c в kadmind MIT Kerberos 5 (известном как krb5). Проблема заключается в том, что старые ключи отправляются в ответе на запрос -randkey -keepold. Это позволяет удалённым аутентифицированным злоумышленникам подделывать тикеты, используя административный доступ.
Заявление
Служба безопасности Red Hat оценила эту проблему как имеющую умеренное влияние на безопасность. В настоящее время не планируется устранение данной уязвимости в будущих обновлениях. Для получения дополнительной информации обратитесь к классификации серьёзности проблем.
Затронутые версии ПО
- MIT Kerberos 5 (krb5) до версии 1.13
Тип уязвимости
Подделка тикетов
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 5 | krb5 | Will not fix | ||
| Red Hat Enterprise Linux 6 | krb5 | Will not fix | ||
| Red Hat Enterprise Linux 7 | krb5 | Will not fix |
Показывать по
Дополнительная информация
Статус:
2.1 Low
CVSS2
Связанные уязвимости
The kadm5_randkey_principal_3 function in lib/kadm5/srv/svr_principal.c in kadmind in MIT Kerberos 5 (aka krb5) before 1.13 sends old keys in a response to a -randkey -keepold request, which allows remote authenticated users to forge tickets by leveraging administrative access.
The kadm5_randkey_principal_3 function in lib/kadm5/srv/svr_principal.c in kadmind in MIT Kerberos 5 (aka krb5) before 1.13 sends old keys in a response to a -randkey -keepold request, which allows remote authenticated users to forge tickets by leveraging administrative access.
The kadm5_randkey_principal_3 function in lib/kadm5/srv/svr_principal. ...
The kadm5_randkey_principal_3 function in lib/kadm5/srv/svr_principal.c in kadmind in MIT Kerberos 5 (aka krb5) before 1.13 sends old keys in a response to a -randkey -keepold request, which allows remote authenticated users to forge tickets by leveraging administrative access.
Уязвимости операционной системы Gentoo Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
2.1 Low
CVSS2