MIT Kerberos空指针间接引用拒绝服务漏洞(CVE

发布日期:2013-03-29
更新日期:2013-04-23

受影响系统:
MIT Kerberos 5 <= 1.10.5
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 59261
 CVE(CAN) ID: CVE-2013-1416
 
Kerberos是一款广泛使用的超强加密来验证客户端和服务器端的网络协议。
 
krb5 1.10.5之前版本内KDC中,do_tgs_req.c的函数prep_reprocess_req执行服务主体域参照时存在错误,此函数内的代码错误地传递空指针到strlcpy(),经过身份验证的远程用户通过发送罕见但有效的TGS-REQ请求间接引用空指针,利用此漏洞可造成KDC进程崩溃,导致拒绝服务。要利用此漏洞攻击者需要经过身份验证并且具有有效的Kerberos权证。
 
<*来源:Benjamin Kaduk
 
  链接:https://github.com/krb5/krb5/commit/8ee70ec63931d1e38567905387ab9b1d45734d81
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
MIT
 ---
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/ppzxz.html