В протоколе сетевой аутентификации Kerberos найдены опасные уязвимости. Критическая уязвимость существует из-за ошибки при обработке неинициализированных указателей, когда интерфейс mechglue в реализации GSS-API вызывает определенные функции обработки ошибок. Удаленный пользователь может с помощью специально сформированного пакета вызвать отказ в обслуживании или выполнить произвольный код на целевой системе. Уязвимы Kerberos krb5-1.5 — krb5-1.5.1, а возможно, и более ранние версии. Еще одна критическая уязвимость существует из-за ошибки при обработке xprt->xp_auth указателей во время освобождения структур в памяти. Удаленный пользователь может с помощью специально сформированного kerberos-пакета вызвать отказ в обслуживании демона или выполнить произвольный код на целевой системе. Уязвимы Kerberos krb5-1.4 — krb5-1.4.4, krb5-1.5 — krb5-1.5.1, а возможно, и более ранние версии.
Источник