漏洞信息详情

Linux Kernel lookup_cb_cred函数授权问题漏洞

• CNNVD编号：CNNVD-200910-440
• 危害等级： 中危
  
• CVE编号： CVE-2009-3623
• 漏洞类型： 授权问题
• 发布时间： 2009-10-30
• 威胁类型： 远程
• 更新时间： 2009-11-02
• 厂        商： linux
• 漏洞来源：

漏洞简介

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。NFSv4 implementation是其中的一个分布式文件系统协议。

Linux kernel 2.6.31.2之前版本的nfsd4子系统存在授权问题漏洞。由于当客户指定AUTH_NULL身份认证flavor时，nfsd4子系统的fs/nfsd/nfs4callback.c文件中的lookup_cb_cred函数试图访问证书缓存，远程攻击者可以借助一个NFSv4 mount请求，引起拒绝服务攻击(空指针引用和系统崩溃)。

漏洞公告

厂商目前已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.32-rc1

参考网址

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=530269

来源: www.kernel.org

链接:http://www.kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.32-rc1

来源: www.kernel.org

链接:http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.31.2

来源: MLIST

名称: [oss-security] 20091022 Re: CVE request: kernel: nfsd4: fix null dereference creating nfsv4 callback client

链接:http://marc.info/?l=oss-security&m=125624036516377&w=2

来源: MLIST

名称: [oss-security] 20091022 CVE request: kernel: nfsd4: fix null dereference creating nfsv4 callback client

链接:http://marc.info/?l=oss-security&m=125618753029631&w=2

来源: git.kernel.org

链接:http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=886e3b7fe6054230c89ae078a09565ed183ecc73

来源: git.kernel.org

链接:http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=80fc015bdfe1f5b870c1e1ee02d78e709523fee7

受影响实体

• Linux Linux_kernel:2.6.23.13  
• Linux Linux_kernel:2.6.23.14  
• Linux Linux_kernel:2.6.20.14  
• Linux Linux_kernel:2.6.20.15  
• Linux Linux_kernel:2.6.20.16  

补丁

暂无