{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P><SPAN class=\"textit\">Kerberos 5</SPAN> versions 1.6.3 et  ant\u00e9rieures.</P>","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Kerberos 5 :\n\n-   l'utilisation d'un pointeur non initialis\u00e9 pour certains types de\n    messages krb4 peut provoquer un d\u00e9ni de service ou l'ex\u00e9cution de\n    code arbitraire \u00e0 distance. L'exploitation de cette vuln\u00e9rabilit\u00e9\n    n\u00e9cessite l'activation du support Kerberos 4, ce qui n'est pas le\n    cas par d\u00e9faut (CVE-2008-0062) ;\n-   des messages krb4 peuvent contenir des informations stock\u00e9es en\n    m\u00e9moire, ce qui peut porter atteinte \u00e0 la confidentialit\u00e9 des\n    donn\u00e9es. L'exploitation de cette vuln\u00e9rabilit\u00e9 n\u00e9cessite\n    l'activation du support Kerberos 4 (CVE-2008-0063) ;\n-   un utilisateur malintentionn\u00e9 peut provoquer une corruption de la\n    m\u00e9moire dans le processus kadmind, ce qui se traduit par un d\u00e9ni de\n    service et, \u00e9ventuellement, une ex\u00e9cution de code arbitraire \u00e0\n    distance. L'exploitation de cette vuln\u00e9rabilit\u00e9 n\u00e9cessite des\n    configurations qui permettent l'ouverture d'un grand nombre de\n    descripteurs de fichier par processus (CVE-2008-0947 et\n    CVE-2008-0948).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2008-0063","url":"https://www.cve.org/CVERecord?id=CVE-2008-0063"},{"name":"CVE-2008-0948","url":"https://www.cve.org/CVERecord?id=CVE-2008-0948"},{"name":"CVE-2008-0947","url":"https://www.cve.org/CVERecord?id=CVE-2008-0947"},{"name":"CVE-2008-0062","url":"https://www.cve.org/CVERecord?id=CVE-2008-0062"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-1524 du 18 mars 2008 :","url":"http://www.debian.org/security/2008/dsa-1524"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-587-1 du 19 mars 2008 :","url":"http://www.ubuntulinux.org/usn/usn-587-1"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2008:0180 du 18 mars 2008    :","url":"http://rhn.redhat.com/errata/RHSA-2008-0180.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDVSA-2008:069 du 19 mars    2008 :","url":"http://www.mandriva.com/en/security/advisroies?name=MDVSA-2008:069"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200803-31 du 24 mars 2008    :","url":"http://www.gentoo.org/security/en/glsa/glsa-200803-31.xml"}],"reference":"CERTA-2008-AVI-154","revisions":[{"description":"version initiale.","revision_date":"2008-03-20T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Gentoo, Debian et Mandriva.","revision_date":"2008-03-25T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s dans <span class=\"textit\">Kerberos 5</span>\npermettent de porter atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es, de\nr\u00e9aliser un d\u00e9ni de service \u00e0 distance et \u00e9ventuellement, d'ex\u00e9cuter du\ncode arbitraire \u00e0 distance.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Kerberos","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 MITKRB5-SA-2008-001 du 18 mars 2008","url":"http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2008-001.txt"},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 MITKRB5-SA-2008-002 du 18 mars 2008","url":"http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2008-002.txt"}]}