Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
krb5
(Unknown)
Описание
Переполнение буфера в стеке в функции svcauth_gss_validate в lib/rpc/svc_auth_gss.c в библиотеке RPCSEC_GSS RPC в MIT Kerberos, используемой в демоне управления Kerberos (kadmind), позволяет злоумышленникам, действующим удаленно, вызвать отказ в обслуживании (аварийное завершение работы демона) и, возможно, выполнить произвольный код, используя длинную строку в сообщении RPC.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://web.mit.edu/kerberos/www/
http://web.mit.edu/kerberos/www/
Ссылки
https://bugzilla.redhat.com/show_bug.cgi?id=250973
http://web.mit.edu/Kerberos/advisories/MITKRB5-SA-2007-006.txt
REDHAT (RHSA-2007:0858): http://www.redhat.com/support/errata/RHSA-2007-0858.html
BID (25534): http://www.securityfocus.com/bid/25534
BID (26444): http://www.securityfocus.com/bid/26444
XF (kerberos-rpcsecgss-bo(36437)): http://xforce.iss.net/xforce/xfdb/36437
http://web.mit.edu/Kerberos/advisories/MITKRB5-SA-2007-006.txt
REDHAT (RHSA-2007:0858): http://www.redhat.com/support/errata/RHSA-2007-0858.html
BID (25534): http://www.securityfocus.com/bid/25534
BID (26444): http://www.securityfocus.com/bid/26444
XF (kerberos-rpcsecgss-bo(36437)): http://xforce.iss.net/xforce/xfdb/36437