MIT Kerberos 5 process_db_args函数拒绝服务漏洞(CVE-2016-3119)
发布日期:2016-03-28
更新日期:2016-03-29
受影响系统:
MIT Kerberos 5 1.14.x-1.14.1
描述:
CVE(CAN) ID: CVE-2016-3119
Kerberos是一款广泛使用的超强加密来验证客户端和服务器端的网络协议。
MIT Kerberos 5 1.13.4及之前版本、1.14.x-1.14.1版本,kadmind/LDAP KDB/plugins/kdb/ldap/libkdb_ldap/ldap_principal2.c/process_db_args函数错误处理了DB参数。经验证的远程用户通过构造的请求修改主体条目,可造成拒绝服务(空指针间接引用及后台程序崩溃)。
<*来源:greghudson
*>
建议:
厂商补丁:
MIT
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/krb5/krb5/commit/08c642c09c38a9c6454ab43a9b53b2a89b9eef99