漏洞信息详情
nfs-utils ‘rpc.gssd’DNS欺骗漏洞
- CNNVD编号:CNNVD-201304-086
- 危害等级: 中危
- CVE编号: CVE-2013-1923
- 漏洞类型: 信息泄露
- 发布时间: 2013-04-11
- 威胁类型: 特定网络环境
- 更新时间: 2014-03-11
- 厂 商: linux-nfs
- 漏洞来源:
漏洞简介
nfs-utils是一套Linux内核中的NFS(网络文件系统)的支持程序。
nfs-utils 1.2.7及之前版本中的rpc-gssd中存在漏洞。该漏洞源于程序在GSSAPI认证期间为服务器名称提供逆向DNS解析。远程攻击者可通过实施DNS欺骗攻击利用该漏洞读取其它受限的文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.linux-nfs.org/?p=steved/nfs-utils.git;a=commitdiff;h=f9f5450f8f946ffc664397c86d05d27ba0406e21
参考网址
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=948072
来源: XF
名称: nfsutils-cve20131923-spoofing(85331)
链接:http://xforce.iss.net/xforce/xfdb/85331
来源: BID
名称: 58854
链接:http://www.securityfocus.com/bid/58854
来源: MLIST
名称: [linux-nfs] 20130403 Re: [PATCH] Avoid PTR lookups when possible
链接:http://marc.info/?l=linux-nfs&m=136500502805121&w=2
来源: MLIST
名称: [linux-nfs] 20130402 Re: [PATCH] Avoid PTR lookups when possible
链接:http://marc.info/?l=linux-nfs&m=136491998607561&w=2
来源: SUSE
名称: openSUSE-SU-2013:1048
链接:http://lists.opensuse.org/opensuse-updates/2013-06/msg00172.HTML
来源: SUSE
名称: openSUSE-SU-2013:1016
链接:http://lists.opensuse.org/opensuse-updates/2013-06/msg00146.HTML
来源: SUSE
名称: openSUSE-SU-2013:1012
链接:http://lists.opensuse.org/opensuse-updates/2013-06/msg00142.HTML
受影响实体
- Linux-Nfs Nfs-Utils:1.2.7
- Linux-Nfs Nfs-Utils:1.2.6
- Linux-Nfs Nfs-Utils:1.2.5
- Linux-Nfs Nfs-Utils:1.2.4
- Linux-Nfs Nfs-Utils:1.2.3
补丁
- nfs-utils-1.2.8
- nfs-utils-1.2.8
评论