Vulnérabilité dans le protocole d'authentification MIT Kerberos 5
Date de publication :
CVE-2021-36222 [Score CVSS v3 : 7.5 ]
Une vulnérabilité a été corrigée au sein de la fonction ec_verify dans le fichier kdc/kdc_preauth_ec.c du Centre de distribution de clés (KDC) de MIT Kerberos 5 (alias krb5). Cette faille est due à une mauvaise gestion d’une valeur de retour dans certains cas de figure. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer une déréférence de pointeur NULL conduisant à un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- krb5 versions antérieures à 1.18.4
- krb5 versions antérieures à 1.19.2
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour krb5 vers une des versions suivantes :
- 1.18.4 ou ultérieure
- 1.19.2 ou ultérieure
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.