漏洞信息详情
Kerberos kpasswd UDP Packet Processing 拒绝服务漏洞
- CNNVD编号:CNNVD-201305-297
- 危害等级: 中危
- CVE编号: CVE-2002-2443
- 漏洞类型: 输入验证错误
- 发布时间: 2013-05-17
- 威胁类型: 远程
- 更新时间: 2021-02-03
- 厂 商: mit
- 漏洞来源:
漏洞简介
Kerberos是美国麻省理工学院(MIT)开发的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等。
MIT Kerberos 5 (又名krb5) 1.11.3之前的版本中的kadmind中的kpasswd服务中的schpw.c中存在漏洞,该漏洞源于发送响应之前程序没有正确验证UDP数据包。远程攻击者可通过能够触发通信循环的伪造数据包(如krb_pingpong.nasl)利用该漏洞造成拒绝服务(CUP和带宽消耗)。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://krbdev.mit.edu/rt/Ticket/Display.HTML?id=7637
参考网址
来源:MANDRIVA
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2013:166
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-07/msg00007.HTML
来源:DEBIAN
链接:https://www.debian.org/security/2013/dsa-2701
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2013-0942.HTML
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105978.HTML
来源:UBUNTU
链接:http://www.ubuntu.com/usn/USN-2810-1
来源:CONFIRM
链接:http://krbdev.mit.edu/rt/Ticket/Display.HTML?id=7637
来源:CONFIRM
链接:https://bugzilla.redhat.com/show_bug.cgi?id=962531
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105879.HTML
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/106698.HTML
来源:CONFIRM
链接:https://github.com/krb5/krb5/commit/cf1a0c411b2668c57c41e9c4efd15ba17b6b322c
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-07/msg00004.HTML
受影响实体
- Mit Kerberos:5-1.11.2
补丁
- schpw
评论