Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
MIT ケルベロスにより認証される可能にする可能性があるサービス拒否 (DoS)状態を引き起こすために脆弱性がリモート攻撃者含まれています。
脆弱性はポインタ検証の欠けること当然の GSS-API アクセプタ コンポーネントにあります。Â は影響を受けたコンポーネントに巧妙に細工された要求によって認証されて、リモート攻撃者脆弱性を不正利用する可能性があります。Â によりこの操作コンポーネントは DoS 状態に終って、クラッシュします可能性があります。
MIT はこの脆弱性を確認し、更新済ソフトウェアをリリースしました。
脆弱性は幾分影響を受けたシステムの不正侵入の脅威を減らす認証された攻撃者によってだけ不正利用することができます。
Cisco Network Admission Control ゲスト サーバはアクティブ ディレクトリ単一サインオンがイネーブルになっている場合影響を受けるかもしれません。
該当製品
MIT は次のリンクで Security Advisory をリリースしました: MITKRB5-SA-2010-005
Cisco は次のリンクでバグID をリリースしました: CSCtg59379
F5 ネットワークは次のリンクでリリース ノートの脆弱性を確認しました: Enterprise Manager 2.3.0 に関するリリース ノート
HP は次のリンクでセキュリティ情報 c02257427 を発表しました: HPSBUX02544 SSRT100107
IBM は次のリンクでセキュリティ警報をリリースしました: CVE-2010-1321
Oracle は次のリンクでセキュリティ警報をリリースしました: 重要なパッチアップデート 10月 2010 年
Red Hat は次のリンクで Security Advisory をリリースしました: RHSA-2010-0423、RHSA-2010:0770、RHSA-2010:0873、RHSA-2010:0935、RHSA-2010:0987、RHSA-2011:0152 および RHSA-2011:0880
SUN は次のリンクでセキュリティ 通知をリリースしました: CVE-2010-1321
VMware は次のリンクで Security Advisory をリリースしました: VMSA-2010-0013、VMSA-2010-0016 および VMSA-2011-0013
脆弱性のある製品
脆弱性を含んでいないことが確認された製品
回避策
管理者は適切な更新を加えるように助言されます。
管理者は信頼されたユーザだけネットワーク アクセスをアクセスできることを許可するために助言されます。
管理者は信頼されたユーザにだけ影響を受けたアプリケーションへの対するアクセス権の付与に助言されます。
Cisco カスタマはこのリンクで詳述されるようにアクティブ ディレクトリ単一サインオンをディセーブルにすることによってこの脆弱性を軽減できます: (『Cisco
管理者は影響を受けたシステムを監視するように助言されます。
修正済みソフトウェア
MIT は次のリンクでパッチをリリースしました: MITKRB5-SA-2010-005
CentOS パッケージはまたは yum コマンド up2date を使用して更新済である場合もあります。
F5 ネットワークは次のリンクで登録ユーザ向けのソフトウェア アップデートをリリースしました: Enterprise Manager 2.3.0
HP は次のリンクでケルベロス Web アップデート(KRB5CLIENT)のための更新済ソフトウェアをリリースしました:
HP-UX B.11.11 (11i v1)
KRB5CLIENT_C.1.3.5.10_ HP_UX_B.11.11_32_64.depot かそれに続くHP-UX B.11.23 (11i v2)
KRB5CLIENT_D.1.6.2.08_ HP_UX_B.11.23_IA_PA.depot かそれに続くHP-UX B.11.31 (11i v3)
KRB5CLIENT_E.1.6.2.08_ HP_UX_B.11.31_IA_PA.depot かそれに続く
HP は次のリンクで登録ユーザ向けのコアOS (KRB5-Client)の Kerberosクライアント製品のための更新済ソフトウェアをリリースしました:
HP-UX B.11.11 (11i v1)
PHSS_41166 かそれに続くHP-UX B.11.23 (11i v2)
PHSS_41167 かそれに続くHP-UX B.11.31 (11i v3)
PHSS_41168 かそれに続く
IBM は次のリンクで更新をリリースしました: IBM 開発者キット
Oracle は次のリンクで登録ユーザ向けのパッチをリリースしました: Oracle
Red Hat パッケージはまたは yum コマンド up2date を使用して更新済である場合もあります。
SUN は次のリンクで登録ユーザ向けのパッチをリリースしました:
SPARC
パッチ 141500-07 またはそれ以降の Solaris 10
パッチ 112908-38 またはそれ以降の Solaris 9
パッチ 112390-17 またはそれ以降の Solaris 8Intel
パッチ 141501-08 またはそれ以降の Solaris 10
パッチ 115168-24 またはそれ以降の Solaris 9
パッチ 112240-16 またはそれ以降の Solaris 8
VMware は次のリンクで更新済ソフトウェアをリリースしました:
ESX 3.5
ESX350-201008411-SGESX 4.0
ESX400-201009403-SGESXi 4.1
ESXi410-201010401-SGESX 4.1
ESX410-201010419-SG
ESX410-201110201-SGESX 3.0.3
ESX303-201102401-SG
vCenter 4.1
アップデート 2
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例やその公表を確認していません。
出典
URL
改訂履歴
Version | Description | Section | Status | 日付 |
1.0 | 初版リリース | 該当なし | Final | 2010-May-19 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。