漏洞信息详情
MIT Kerberos 5 ‘setup_server_realm()’函数远程拒绝服务漏洞
- CNNVD编号:CNNVD-201311-081
- 危害等级: 中危
- CVE编号: CVE-2013-1418
- 漏洞类型: 代码问题
- 发布时间: 2013-11-07
- 威胁类型: 远程
- 更新时间: 2021-02-03
- 厂 商: mit
- 漏洞来源: Tom Yu
漏洞简介
MIT Kerberos 5(又名krb5)是美国麻省理工学院(MIT)开发的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等。
MIT Kerberos 5 1.10.6及之前的版本中的Key Distribution Center(KDC)服务中的main.c文件中的‘setup_server_realm’函数中存在安全漏洞。当KDC服务多个领域时,远程攻击者可通过发送特制的请求利用该漏洞造成拒绝服务(空指针逆向引用和守护进程崩溃)。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://web.mit.edu/kerberos/krb5-1.10/README-1.10.7.txt
参考网址
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-11/msg00082.HTML
来源:CONFIRM
链接:http://web.mit.edu/kerberos/krb5-1.11/README-1.11.4.txt
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-12/msg00026.HTML
来源:CONFIRM
链接:https://github.com/krb5/krb5/commit/c2ccf4197f697c4ff143b8a786acdd875e70a89d
来源:CONFIRM
链接:http://advisories.mageia.org/MGASA-2013-0335.HTML
来源:MLIST
链接:https://lists.debian.org/debian-lts-announce/2018/01/msg00040.HTML
来源:BID
链接:https://www.securityfocus.com/bid/63555
来源:CONFIRM
链接:http://krbdev.mit.edu/rt/Ticket/Display.HTML?id=7757
来源:CONFIRM
链接:http://web.mit.edu/kerberos/krb5-1.10/README-1.10.7.txt
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-11/msg00086.HTML
来源:CONFIRM
链接:https://bugzilla.redhat.com/show_bug.cgi?id=1026942
受影响实体
- Mit Kerberos:5-1.10.6
- Mit Kerberos:5-1.10.5
- Mit Kerberos:5-1.10.4
- Mit Kerberos:5-1.10.3
- Mit Kerberos:5-1.10.2
补丁
- krb5-1.10.7-signed
评论