製品・ソフトウェアに関する情報
Vulnerability Search
MIT Kerberos の AES および RC4 の復号化機能における任意のコードを実行される脆弱性
Title MIT Kerberos の AES および RC4 の復号化機能における任意のコードを実行される脆弱性
Summary

MIT Kerberos の暗号化ライブラリの AES および RC4 の復号化機能には、サービス運用妨害 (DoS) 状態となる、または任意のコードを実行される脆弱性が存在します。

Possible impacts 第三者により、短すぎて有効になり得ない長さをもった暗号テキストを与えることによってサービス運用妨害 (DoS) 状態にされる、または任意のコードを実行される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Jan. 12, 2010, midnight
Registration Date Feb. 10, 2010, 1:38 p.m.
Last Update Dec. 7, 2010, 4:40 p.m.
CVSS2.0 : 危険
Score 10
Vector AV:N/AC:L/Au:N/C:C/I:C/A:C
Affected System
サン・マイクロシステムズ
OpenSolaris (sparc)
OpenSolaris (x86)
Sun Solaris 10 (sparc)
Sun Solaris 10 (x86)
レッドハット
Red Hat Enterprise Linux 3 (as)
Red Hat Enterprise Linux 3 (es)
Red Hat Enterprise Linux 3 (ws)
Red Hat Enterprise Linux 4 (as)
Red Hat Enterprise Linux 4 (es)
Red Hat Enterprise Linux 4 (ws)
Red Hat Enterprise Linux 4.7 (as)
Red Hat Enterprise Linux 4.7 (es)
Red Hat Enterprise Linux 4.8 (as)
Red Hat Enterprise Linux 4.8 (es)
Red Hat Enterprise Linux 5 (server)
Red Hat Enterprise Linux Desktop 3.0
Red Hat Enterprise Linux Desktop 4.0
Red Hat Enterprise Linux Desktop 5.0 (client)
Red Hat Enterprise Linux EUS 5.2.z (server)
Red Hat Enterprise Linux EUS 5.3.z (server)
Red Hat Enterprise Linux EUS 5.4.z (server)
RHEL Desktop Workstation 5 (client)
サイバートラスト株式会社
Asianux Server 3 (x86)
Asianux Server 3 (x86-64)
Asianux Server 3.0
Asianux Server 3.0 (x86-64)
アップル
Apple Mac OS X v10.5.8
Apple Mac OS X v10.6 から v10.6.3
Apple Mac OS X Server v10.5.8
Apple Mac OS X Server v10.6 から v10.6.3
MIT Kerberos
Kerberos 5 1.3 から 1.6.3
Kerberos 5 1.7.1 未満
VMware
VMware ESX 3.x
VMware ESX 4.0
VMware ESX 4.1
VMware ESXi 4.1
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2010年02月10日]
  掲載
[2010年07月05日]
  影響を受けるシステム:アップル (HT4188) の情報を追加
  ベンダ情報:アップル (HT4188) を追加
[2010年12月07日]
  影響を受けるシステム:VMware (VMSA-2010-0016) の情報を追加
  ベンダ情報:VMware (VMSA-2010-0016) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-4212
Summary

Multiple integer underflows in the (1) AES and (2) RC4 decryption functionality in the crypto library in MIT Kerberos 5 (aka krb5) 1.3 through 1.6.3, and 1.7 before 1.7.1, allow remote attackers to cause a denial of service (daemon crash) or possibly execute arbitrary code by providing ciphertext with a length that is too short to be valid.

Summary

Múltiples vulnerabilidades de desbordamiento de entero en la funcionalidad de desencriptado AES y RC4 en la biblioteca crypto en MIT Kerberos 5 (también conocido comokrb5) v1.3 a la v1.6.3, y 1.7 anterior a v1.7.1, permite a atacantes remotos provocar una denegación de servición (caída de demonio) o posiblemente la ejecución de código de su elección facilitando texto cifrado (ciphertext) con un tamaño menor al válido.

Publication Date Jan. 14, 2010, 4:30 a.m.
Registration Date Jan. 29, 2021, 1:26 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:mit:kerberos:5-1.6.3:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.3:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.3.1:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.3.3:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.3.4:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.3.5:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.3.6:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.4:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.4.1:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.4.2:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.4.3:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.4.4:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.5:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.5.1:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.5.2:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.5.3:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.6:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.6.1:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.6.2:*:*:*:*:*:*:*
cpe:2.3:a:mit:kerberos_5:1.7:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List