中危 kerberos 拒绝服务代码执行漏洞

CVE编号

CVE-2009-4212

利用情况

暂无

补丁情况

官方补丁

披露时间

2010-01-14
漏洞描述
在MITKerberos5(又名krb5)1.3至1.6.3和1.7之前的密码库中(1)AES和(2)RC4解密功能中的多个整数底流,允许远程攻击者通过提供长度太短而无法有效的密文来导致拒绝服务(守护进程崩溃)或可能执行任意代码。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://lists.apple.com/archives/security-announce/2010//Jun/msg00001.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-January/033915.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-January/033919.html
http://marc.info/?l=bugtraq&m=130497213107107&w=2
http://secunia.com/advisories/38080
http://secunia.com/advisories/38108
http://secunia.com/advisories/38126
http://secunia.com/advisories/38140
http://secunia.com/advisories/38184
http://secunia.com/advisories/38203
http://secunia.com/advisories/38696
http://secunia.com/advisories/40220
http://sunsolve.sun.com/search/document.do?assetkey=1-66-275530-1
http://sunsolve.sun.com/search/document.do?assetkey=1-77-1021779.1-1
http://support.apple.com/kb/HT4188
http://support.avaya.com/css/P8/documents/100074869
http://ubuntu.com/usn/usn-881-1
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2009-004.txt
http://www.debian.org/security/2010/dsa-1969
http://www.mandriva.com/security/advisories?name=MDVSA-2010:006
http://www.securityfocus.com/bid/37749
http://www.securitytracker.com/id?1023440
http://www.vupen.com/english/advisories/2010/0096
http://www.vupen.com/english/advisories/2010/0129
http://www.vupen.com/english/advisories/2010/1481
https://bugzilla.redhat.com/show_bug.cgi?id=545015
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://rhn.redhat.com/errata/RHSA-2010-0029.html
https://rhn.redhat.com/errata/RHSA-2010-0095.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 mit kerberos 5-1.6.3 -
运行在以下环境
应用 mit kerberos_5 1.3 -
运行在以下环境
应用 mit kerberos_5 1.3.1 -
运行在以下环境
应用 mit kerberos_5 1.3.2 -
运行在以下环境
应用 mit kerberos_5 1.3.3 -
运行在以下环境
应用 mit kerberos_5 1.3.4 -
运行在以下环境
应用 mit kerberos_5 1.3.5 -
运行在以下环境
应用 mit kerberos_5 1.3.6 -
运行在以下环境
应用 mit kerberos_5 1.4 -
运行在以下环境
应用 mit kerberos_5 1.4.1 -
运行在以下环境
应用 mit kerberos_5 1.4.2 -
运行在以下环境
应用 mit kerberos_5 1.4.3 -
运行在以下环境
应用 mit kerberos_5 1.4.4 -
运行在以下环境
应用 mit kerberos_5 1.5 -
运行在以下环境
应用 mit kerberos_5 1.5.1 -
运行在以下环境
应用 mit kerberos_5 1.5.2 -
运行在以下环境
应用 mit kerberos_5 1.5.3 -
运行在以下环境
应用 mit kerberos_5 1.6 -
运行在以下环境
应用 mit kerberos_5 1.6.1 -
运行在以下环境
应用 mit kerberos_5 1.6.2 -
运行在以下环境
应用 mit kerberos_5 1.7 -
运行在以下环境
系统 centos_5 krb5-devel * Up to
(excluding)
1.6.1-36.el5_4.1
运行在以下环境
系统 debian_10 krb5 * Up to
(excluding)
1.8+dfsg~alpha1-1
运行在以下环境
系统 debian_11 krb5 * Up to
(excluding)
1.8+dfsg~alpha1-1
运行在以下环境
系统 debian_12 krb5 * Up to
(excluding)
1.8+dfsg~alpha1-1
运行在以下环境
系统 debian_4.0 krb5 * Up to
(excluding)
1.4.4-7etch8
运行在以下环境
系统 debian_5.0 krb5 * Up to
(excluding)
1.6.dfsg.4~beta1-5lenny2
运行在以下环境
系统 opensuse_11.0 krb5 * Up to
(excluding)
1.6.3-50.7
运行在以下环境
系统 opensuse_11.1 krb5 * Up to
(excluding)
1.6.3-132.6.1
运行在以下环境
系统 opensuse_11.2 krb5 * Up to
(excluding)
1.7-6.2.1
运行在以下环境
系统 oracle_5 oraclelinux-release * Up to
(excluding)
1.6.1-36.el5_4.1
运行在以下环境
系统 redhat_5 krb5-devel * Up to
(excluding)
0:1.3.4-62.el4_8.1
运行在以下环境
系统 suse_12 krb5 * Up to
(excluding)
1.12.1-6
阿里云评分
6.9
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    N/A
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    无影响
  • 服务器危害
    DoS
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-189 数值错误
阿里云安全产品覆盖情况