Platform
python
Component
pykerberos
Opgelost in
1.2.6
1.1.6
CVE-2015-3206 beschrijft een Denial of Service (DoS) kwetsbaarheid in de python-kerberos bibliotheek, specifiek in de checkPassword functie. Deze kwetsbaarheid stelt een aanvaller in staat om een denial of service te veroorzaken of andere onbekende impact te hebben door middel van een man-in-the-middle aanval. De kwetsbaarheid treft versies van pykerberos tot en met 1.1.5. Een upgrade naar versie 1.1.6 is beschikbaar om dit probleem te verhelpen.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om een denial of service te veroorzaken door een man-in-the-middle aanval uit te voeren. De checkPassword functie in pykerberos authenticeert niet de KDC waarmee het probeert te communiceren. Dit betekent dat een aanvaller zich kan voordoen als de KDC en kwaadaardige responses kan sturen, waardoor de applicatie die pykerberos gebruikt onbruikbaar wordt. De impact kan verder reiken dan alleen een denial of service, hoewel de exacte aard van de andere impact onbekend is. Dit soort kwetsbaarheden kunnen de beschikbaarheid van kritieke diensten aanzienlijk beïnvloeden, vooral in omgevingen die afhankelijk zijn van Kerberos authenticatie.
Er is geen publieke exploitatie van CVE-2015-3206 bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat duidt op een potentieel risico. Er zijn geen actieve campagnes bekend die deze specifieke kwetsbaarheid uitbuiten, maar de mogelijkheid van uitbuiting blijft bestaan, vooral in omgevingen met verouderde software. De publicatiedatum van de CVE (2017-08-25) geeft aan dat de kwetsbaarheid al geruime tijd bekend is.
Exploit Status
EPSS
0.61% (70% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2015-3206 is het upgraden van pykerberos naar versie 1.1.6 of hoger. Indien een upgrade direct niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen om man-in-the-middle aanvallen te detecteren en te voorkomen, zoals het gebruik van TLS/SSL voor alle Kerberos communicatie. WAF-regels kunnen worden ingesteld om verdachte netwerkverkeer te blokkeren. Controleer de configuratie van Kerberos-clients en -servers om er zeker van te zijn dat ze correct zijn geconfigureerd en dat er geen onnodige privileges worden verleend. Na de upgrade, bevestig de correcte werking door Kerberos authenticatie te testen en te controleren of er geen onverwachte fouten optreden.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2015-3206 is a denial-of-service vulnerability in pykerberos versions up to 1.1.5. It allows attackers to disrupt Kerberos authentication services due to a lack of KDC authentication.
You are affected if you are using pykerberos version 1.1.5 or earlier. Check your installed version using pip show pykerberos.
Upgrade pykerberos to version 1.1.6 or later using pip install pykerberos==1.1.6 or your package manager's equivalent command.
While no widespread public exploits are known, the vulnerability's nature makes it potentially attractive to attackers. Continuous monitoring is recommended.
The vulnerability is documented in the NVD database: https://nvd.nist.gov/vuln/detail/CVE-2015-3206
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.