漏洞信息详情
MIT Kerberos ASN.1解析器远程堆破坏漏洞
- CNNVD编号:CNNVD-200302-043
- 危害等级: 低危
- CVE编号: CVE-2002-0036
- 漏洞类型: 其他
- 发布时间: 2003-02-19
- 威胁类型: 远程
- 更新时间: 2020-01-22
- 厂 商: mit
- 漏洞来源: CERT Advisory※ cer...
漏洞简介
Kerberos是美国麻省理工学院(MIT)开发的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等。MIT Kerberos密钥分发中心(Key Distribution Center)的实现上存在漏洞,远程攻击者可能利用此漏洞对服务器程序进行拒绝服务攻击。Abstract Syntax Notation One (ASN.1)是一种格式化的语言,用于编码网络上传输的数据,每个协议中要传输的单元都加以编码以指示此单元的类型和长度,这种传输格式可以使接收方正确地处理数据单元。MIT Kerberos V5的ASN.1解码代码对数据包中数据单元长度没有做充分的边界检查,远程攻击者可能在数据包中提交一个超大的无符号数作为数据单元长度,此数值会被MIT Kerberos代码当作负数处理,程序为试图分配一个超大的或长度为负的缓冲区,从而造成服务器程序的崩溃。
漏洞公告
厂商补丁:
MIT
---
目前厂商已经在1.2.4及其以后版本的软件中修复了这个安全问题,请到厂商的主页下载:
http://web.mit.edu/kerberos/www/index.HTML" target="_blank">
http://web.mit.edu/kerberos/www/index.HTML
参考网址
来源:MANDRAKE
链接:http://www.mandrakesoft.com/security/advisories?name=MDKSA-2003:043
来源:REDHAT
链接:http://www.redhat.com/support/errata/RHSA-2003-052.HTML
来源:BID
链接:https://www.securityfocus.com/bid/6713
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/11190
来源:CERT-VN
链接:http://www.kb.cert.org/vuls/id/587579
来源:CONECTIVA
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000639
来源:REDHAT
链接:http://www.redhat.com/support/errata/RHSA-2003-051.HTML
来源:REDHAT
链接:http://www.redhat.com/support/errata/RHSA-2003-168.HTML
来源:CONFIRM
链接:http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-001-multiple.txt
来源:OSVDB
链接:http://www.osvdb.org/4896
受影响实体
- Mit Kerberos:5-1.2.2
- Mit Kerberos:5-1.2.3
- Mit Kerberos:5-1.2.4
- Mit Kerberos:5-1.2.1
补丁
- MIT Kerberos ASN.1解析器远程堆破坏漏洞的修复措施
评论