Plateforme
python
Composant
pykerberos
Corrigé dans
1.2.6
1.1.6
La vulnérabilité CVE-2015-3206 affecte la bibliothèque python-kerberos, spécifiquement la fonction checkPassword. Elle permet à un attaquant distant de provoquer un déni de service (DoS) ou d'autres impacts indéfinis en effectuant une attaque par l'intermédiaire. Cette vulnérabilité touche les versions de pykerberos inférieures ou égales à 1.1.5. Une version corrigée, 1.1.6, est disponible.
Cette vulnérabilité DoS exploite une faiblesse dans la manière dont pykerberos authentifie le Kerberos Key Distribution Center (KDC). En l'absence d'une authentification appropriée, un attaquant peut intercepter les communications entre le client et le KDC, simuler le KDC et renvoyer des réponses incorrectes ou malformées. Cela peut entraîner un déni de service, empêchant les utilisateurs légitimes d'accéder aux ressources protégées par Kerberos. L'attaquant peut également potentiellement obtenir des informations sensibles en interceptant les échanges de clés Kerberos, bien que l'impact précis de cette interception ne soit pas entièrement défini dans la description de la vulnérabilité.
Cette vulnérabilité a été publiée en 2017. Bien qu'il n'y ait pas de preuves d'exploitation active largement documentées, l'absence d'authentification du KDC présente un risque significatif, en particulier dans les environnements où pykerberos est utilisé pour l'authentification. La vulnérabilité n'est pas répertoriée sur le KEV de CISA à ce jour. Des preuves de concept (PoC) peuvent exister, mais ne sont pas largement diffusées.
Statut de l'Exploit
EPSS
0.61% (percentile 70%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour pykerberos vers la version 1.1.6 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez d'implémenter des mesures de sécurité supplémentaires, telles que la restriction de l'accès réseau aux serveurs KDC et la surveillance du trafic réseau pour détecter les activités suspectes. Il n'existe pas de contournement de configuration direct. Après la mise à jour, vérifiez le bon fonctionnement de l'authentification Kerberos en effectuant des tests de connexion et d'accès aux ressources protégées.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2015-3206 is a denial-of-service vulnerability in pykerberos versions up to 1.1.5. It allows attackers to disrupt Kerberos authentication services due to a lack of KDC authentication.
You are affected if you are using pykerberos version 1.1.5 or earlier. Check your installed version using pip show pykerberos.
Upgrade pykerberos to version 1.1.6 or later using pip install pykerberos==1.1.6 or your package manager's equivalent command.
While no widespread public exploits are known, the vulnerability's nature makes it potentially attractive to attackers. Continuous monitoring is recommended.
The vulnerability is documented in the NVD database: https://nvd.nist.gov/vuln/detail/CVE-2015-3206
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.