漏洞信息详情
MIT Kerberos/密钥分发中心共享密钥用户欺骗漏洞
- CNNVD编号:CNNVD-200302-023
- 危害等级: 高危
- CVE编号: CVE-2003-0059
- 漏洞类型: 其他
- 发布时间: 2003-02-19
- 威胁类型: 远程
- 更新时间: 2005-05-13
- 厂 商: mit
- 漏洞来源: Joseph Sokol-Margo...
漏洞简介
Kerberos是一种使用广泛的采用强壮的加密来验证客户端和服务器端的网络协议。 MIT Kerberos和MIT Kerberos密钥分发中心(Key Distribution Center)实现上存在漏洞,一个Kerberos域的控制者可以冒充另一个域的用户。 MIT Kerberos V5 1.2.3以前的版本libkrb5函数库的chk_trans.c代码存在漏洞,其对域传输的路径检查不充分,导致一个域中共享一些密钥的用户可以冒充其他域中的用户,造成非授权的访问。
漏洞公告
厂商补丁: MIT --- 目前厂商已经已经在1.2.3及其以后版本的软件中修复了这个安全问题,请到厂商的主页下载:
http://web.mit.edu/kerberos/www/index.HTML
参考网址
来源:US-CERT Vulnerability Note: VU#684563 名称: VU#684563 链接:http://www.kb.cert.org/vuls/id/684563 来源: BID 名称: 6714 链接:http://www.securityfocus.com/bid/6714 来源: web.mit.edu 链接:http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-001-multiple.txt 来源: XF 名称: kerberos-kdc-user-spoofing(11188) 链接:http://xforce.iss.net/xforce/xfdb/11188 来源: REDHAT 名称: RHSA-2003:168 链接:http://www.redhat.com/support/errata/RHSA-2003-168.HTML 来源: REDHAT 名称: RHSA-2003:052 链接:http://www.redhat.com/support/errata/RHSA-2003-052.HTML 来源: REDHAT 名称: RHSA-2003:051 链接:http://www.redhat.com/support/errata/RHSA-2003-051.HTML 来源: MANDRAKE 名称: MDKSA-2003:043 链接:http://www.mandrakesoft.com/security/advisories?name=MDKSA-2003:043 来源: CONECTIVA 名称: CLSA-2003:639 链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000639
受影响实体
- Mit Kerberos:5-1.2.1
- Mit Kerberos:5-1.2.2
补丁
- MIT Kerberos/密钥分发中心共享密钥用户欺骗漏洞的修复措施
评论