-----Original Message-----
From: Opscen (OCIPEP / GEOCC)
Sent: 25 October 2002 19:23
To: OCIPEP EXTERNAL DISTRIBUTION LISTS
Subject: OCIPEP AV02-045 Buffer Overflow in Kerberos Administration
Daemon
La version française suit
THE OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY
PREPAREDNESS
*****************
ADVISORY
*****************
Number: AV02-045
Date: 25 October 2002
*****************************
Buffer Overflow in Kerberos Administration Daemon
*****************************
PURPOSE
The Cert/CC is reporting on a new remote buffer overflow in the Kerberos
Administration Daemon.
ASSESSMENT
The remote vulnerability could result in the execution of arbitrary code
or
commands.
SUGGESTED ACTION
Contact the vendor of the affected software for patches and updates.
Further
details on this issue can be found in the CERT/CC advisory at:
http://www.cert.org/advisories/CA-2002-29.html
CONTACT US
For urgent matters or to report any incidents, please contact OCIPEP's
Emergency Operations Centre at:
Phone: (613) 991-7000
Fax: (613) 996-0995
Secure Fax: (613) 991-7094
Email: [EMAIL PROTECTED]
For general information, please contact OCIPEP's Communications Division
at:
Phone: (613) 944-4875 or 1-800-830-3118
Fax: (613) 998-9589
Email: [EMAIL PROTECTED]
Web Site: www.ocipep-bpiepc.gc.ca
NOTICE TO READERS
When the situation warrants, OCIPEP issues Advisories to communicate
information about potential, imminent or actual threats, vulnerabilities
or
incidents assessed by OCIPEP as limited in scope but having possible
impact
on the Government of Canada or other sectors of Canada's critical
infrastructure. Recipients are encouraged to consider the real or
possible
impact on their organization of the information presented in the
Advisory,
and to take appropriate action.
The information in this OCIPEP Advisory has been drawn from a from a
variety
of external sources. Although OCIPEP makes reasonable efforts to ensure
the
accuracy, currency and reliability of the content, OCIPEP does not offer
any
guarantee in that regard.
Unauthorized use of computer systems and mischief in relation to data
are
serious Criminal Code offences in Canada. Upon conviction of an
indictable
offence, an individual is liable to imprisonment for a term not to
exceed
ten years. Any suspected criminal activity should be reported to local
law
enforcement organizations. The RCMP National Operations Centre (NOC)
provides a 24/7 service to receive such reports or to redirect callers
to
local law enforcement organizations. The NOC can be reached at (613)
993-4460. National security concerns should be reported to the Canadian
Security Intelligence Service (CSIS).
==================================================
LE BUREAU DE LA PROTECTION DES INFRASTRUCTURES ESSENTIELLES ET DE LA
PROTECTION CIVILE
************************
AVIS DE SÉCURITÉ
************************
Numéro: AV02-045
Date: 25 Octobre 2002
*****************************
Débordement de la memoire tampon dans le démon d'administration de
Kerberos
*****************************
BUT
Le CERT/CC signale l'existence d'une nouvelle vulnérabilité informatique
à
distance, au niveau du démon d'administration de Kerberos.
ÉVALUATION
Cette vulnérabilité à distance pourrait occasionner l'exécution
arbitraire
de codes ou d'ordres.
MESURE PROPOSÉE
Veuillez communiquer avec le fournisseur du logiciel visé pour les
rustines
et les mises à jour. Pour plus de précisions, vous pouvez consulter
l'avis
du CERT/CC au : http://www.cert.org/advisories/CA-2002-29.html
COMMENT COMMUNIQUER AVEC NOUS
En cas de questions urgentes, ou pour signaler des incidents, veuillez
communiquer avec le Centre des opérations d'urgence du BPIEPC au :
Téléphone : (613) 991-7000
Télécopieur : (613) 996-0995
Télécopieur sécuritaire : (613) 991-7094
Courriel : [EMAIL PROTECTED]
Pour obtenir des renseignements généraux, veuillez communiquer avec la
Division des communications du BPIEPC au :
Téléphone : (613) 944-4875 ou 1-800-830-3118
Télécopieur : (613) 998-9589
Courriel : [EMAIL PROTECTED]
Site Web : www.bpiepc-ocipep.gc.ca
AVIS AUX DESTINATAIRES
Les avis de sécurité émis par le BPIEPC visent à renseigner les
destinataires au sujet de menaces possibles, imminentes, ou réelles, de
vulnérabilités ou d'incidents, évalués par le BPIEPC comme étant d'une
portée limitée, mais ayant des répercussions possibles sur le
gouvernement
du Canada ou sur certains secteurs des infrastructures essentielles. Les
avis de sécurité peuvent contenir des renseignements et des analyses non
disponibles dans le domaine public. Les destinataires sont priés
d'examiner
les répercussions réelles et possibles des renseignements présentés sur
leurs organisations et de prendre les mesures nécessaires.
Les renseignements présentés dans les avis de sécurité du BPIEPC sont
tirés
d'un éventail de sources. Bien que le BPIEPC déploie des efforts
raisonnables afin de s'assurer de l'exactitude, de l'actualité et de la
fiabilité du contenu des avis de sécurité, il ne peut offrir aucune
garantie
à cet égard.
L'utilisation non autorisée des systèmes informatiques et les dommages
relatifs aux données constituent une faute grave au Code criminel
canadien.
Si une personne est trouvée coupable d'une telle faute, elle est
passible
d'emprisonnement pour une période n'excédant pas dix ans. Toute activité
criminelle présumée doit être signalée immédiatement à un organisme
d'application de la loi local. Le Centre national des opérations (CNO)
de la
GRC est disponible tous les jours, 24 heures sur 24, pour recevoir de
tels
rapports ou pour réacheminer les appels aux organismes locaux
d'application
de la loi. Vous pouvez rejoindre le CNO au (613) 993-4460. Les
préoccupations portant sur la sécurité nationale doivent être signalées
au
Service canadien du renseignement de sécurité (SCRS).
IWS INFOCON Mailing List
@ IWS - The Information Warfare Site
http://www.iwar.org.uk
