annonce de vulnérabilité CVE-2009-4212

MIT krb5 : débordement d'entier de AES et RC4

Synthèse de la vulnérabilité

Un attaquant peut envoyer une requête illicite vers MIT krb5, afin de stopper le KDC, et éventuellement de faire exécuter du code.

Gravité : 3/4. Date création : 13/01/2010.

Description de la vulnérabilité

Le KDC (Key Distribution Center) de MIT Kerberos supporte les ciphertexts chiffrés avec :  - l'algorithme AES (RFC 3962)  - l'algorithme RC4 (RFC 4757) Lorsque le KDC déchiffre un ciphertext AES/RC4, il ne vérifie pas si sa taille est supérieure à la taille minimale. Un attaquant peut alors envoyer une requête trop courte, ce qui provoque un débordement d'entier et une corruption de mémoire. Un attaquant non authentifié peut donc envoyer une requête illicite vers MIT krb5, afin de stopper le KDC, et éventuellement de faire exécuter du code.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : MIT krb5 : débordement d'entier de AES et RC4. Mots clés : 3962 4757 AES Center Distribution KDC Kerberos Key MIT RC4 RFC débordement entier krb5. Références : 275530, 6908114, BID-37749, CVE-2009-4212, DSA-1969-1, FEDORA-2010-0503, FEDORA-2010-0515, MDVSA-2010:006, MITKRB5-SA-2009-004, RHSA-2010:0029-01, SUSE-SA:2010:006, VIGILANCE-VUL-9337, VMSA-2010-0009, VMSA-2010-0009.1.

Sources d'information

Publications et annonces Exemple de source : MITKRB5-SA-2009-004 : integer underflow in AES and RC4 decryption

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Cellule de veille technologique sur les vulnérabilités