[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Fedora] Schwachstelle im Apache Modul mod_auth_kerb - FEDORA-2006-1341

To: win-sec-ssc@xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Subject: [Fedora] Schwachstelle im Apache Modul mod_auth_kerb - FEDORA-2006-1341
From: WiN Site Security Contacts <win-sec-ssc@xxxxxxxxxxxxxxxxx>
Date: Wed, 29 Nov 2006 15:02:01 +0100 (CET)
Sender: <archive@xxxxxxxxxxxxxxxxxxxxxxxxxxx>

-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2006-5989 - Buffer Overflow im Apache Modul mod_auth_kerb

  In der Funktion der_get_oid() im Apache Modul mod_auth_kerb kann die
  Speichergrenze eines Buffers im Heap Segment um ein Byte
  ueberschrieben werden (off-by-one Buffer Overflow). Ein entfernter
  Angreifer kann diese Schwachstelle mittels speziell konstruierten
  Kerberos Nachrichten ausnutzen, um den Server zum Absturz zu bringen
  (Denial of Service). Vorasussetzung ist, dass eine Authentifizierung
  beim Zugriff auf bestimmte Seiten mittels des Kerberos Moduls
  konfiguriert ist. Ob sich die Schwachstelle auch fuer die Ausfuehrung
  beliebigen Codes missbrauchen laesst, ist zur Zeit noch unklar.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket mod_auth_kerb

  Fedora Core 5

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2006-November/msg00216.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT


- ---------------------------------------------------------------------
Fedora Update Notification
FEDORA-2006-1341
2006-11-29
- ---------------------------------------------------------------------

Product     : Fedora Core 5
Name        : mod_auth_kerb
Version     : 5.3
Release     : 2.fc5
Summary     : Kerberos authentication module for HTTP
Description :
mod_auth_kerb is module for the Apache HTTP Server designed to
provide Kerberos authentication over HTTP.  The module supports the
Negotiate authentication method, which performs full Kerberos
authentication based on ticket exchanges.

- ---------------------------------------------------------------------
Update Information:

This update includes the latest upstream release of
mod_auth_kerb, version 5.3, which includes the fix for a
security issue.

An off by one flaw was found in the way mod_auth_kerb
handles certain Kerberos authentication messages. A remote
client could send a specially crafted authentication request
which could crash an httpd child process (CVE-2006-5989).

- ---------------------------------------------------------------------
* Tue Nov 28 2006 Joe Orton <jorton@xxxxxxxxxx> 5.3-2.fc5
- - fix r->user caching (Enrico Scholz, #214207)
* Thu Nov 23 2006 Joe Orton <jorton@xxxxxxxxxx> 5.3-1.fc5
- - update to 5.3 (CVE-2006-5989, #215443)

- ---------------------------------------------------------------------
This update can be downloaded from:
    http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/

69de23600ac2b927af4b24498c056be48f6ce707  SRPMS/mod_auth_kerb-5.3-2.fc5.src.rpm
69de23600ac2b927af4b24498c056be48f6ce707  noarch/mod_auth_kerb-5.3-2.fc5.src.rpm
1a7fff3cfb20d2447ba27cab093944d37037b6d6  ppc/debug/mod_auth_kerb-debuginfo-5.3-2.fc5.ppc.rpm
13dd78d44664c5c29672a55ca6e35de534fcb705  ppc/mod_auth_kerb-5.3-2.fc5.ppc.rpm
e77cbc87eab362aa9d71cdac44a727fa9fe5f917  x86_64/mod_auth_kerb-5.3-2.fc5.x86_64.rpm
6e1ccab28dc654035684d3a3ff048bd78f4f7bc3  x86_64/debug/mod_auth_kerb-debuginfo-5.3-2.fc5.x86_64.rpm
d7319c95d15a63cd7ae9dea639a1de657ba854c0  i386/debug/mod_auth_kerb-debuginfo-5.3-2.fc5.i386.rpm
c3c8a4d6adf29a6b94c739a502d7bb7c4e66d200  i386/mod_auth_kerb-5.3-2.fc5.i386.rpm

This update can be installed with the 'yum' update program.  Use 'yum update
package-name' at the command line.  For more information, refer to 'Managing
Software with yum,' available at http://fedora.redhat.com/docs/yum/.
- ---------------------------------------------------------------------

- -- 
Dipl. Inform. Klaus Moeller (CSIRT), DFN-CERT Services GmbH
https://www.dfn-cert.de/, +49-40-808077-555
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUBRW2S2fBT2+ukQ5RFAQEgGgf+OZBllLoWugoTTD0NzBPNYBH8igNxlEr7
W3hOjlfH0pMKNH3bOlsHdk27agHaTot9fCl999liSDKstpauz7TzmOJNSQ/9wqNk
PYjTQ2yTIoGTPei+YXCwfPK1GvJoog0g6/tzyZG64a2XpyfUQQWyZgKXHLHil6EU
U+VXLBkZkjn+Q5Y8aeqksux8n6sPH3CavebPfvPXFVdCREqfMZMMnOyfO4EgKOxe
OLCKl3s1d4Pw47WR0zcWmrKeEesCSVeyHIRaiH9DMlwfxqq0+tIb6DsLPFBBsZHd
1UHuI+Ir+mSyA3KFIRJHQXCVKLeCNlZvdFZa7sSjsa9PI04cc9KAvQ==
=xcQi
-----END PGP SIGNATURE-----

Prev by Date: [Fedora] Schwachstelle in Avahi - FEDORA-2006-1339
Next by Date: [Other] Schwachstelle im Adobe Reader und Adobe Acrobat - APSA06-02
Previous by thread: [Fedora] Schwachstelle in Avahi - FEDORA-2006-1339
Next by thread: [Other] Schwachstelle im Adobe Reader und Adobe Acrobat - APSA06-02
Index(es):
- Date
- Thread