MIT krb5 build_principal_va拒绝服务漏洞(CVE-2015-2697)
发布日期:2015-11-08
更新日期:2015-11-09
受影响系统:
MIT Kerberos 5 < 1.14
描述:
CVE(CAN) ID: CVE-2015-2697
Kerberos是一款广泛使用的超强加密来验证客户端和服务器端的网络协议。
MIT Kerberos 5 (krb5) 1.14之前版本,lib/krb5/krb/bld_princ.c的函数build_principal_va,处理TGS请求内较长的realm字段起始位置的'\0'字符时,会造成越界读及KDC崩溃,导致拒绝服务。
<*来源:ghudson
*>
建议: