MIT Kerberos 消息栈缓冲区错误漏洞 CVE-2008-0063 CNNVD-200803-310
4.3
AV
AC
AU
C
I
A
发布:
2008-03-19
修订:
2024-02-09
Kerberos是美国麻省理工学院(MIT)开发的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等。MIT Kerberos 5(又名krb5)是美国麻省理工学院(MIT)开发的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等。 Kerberos 5的实现上存在两个漏洞,远程攻击者可能利用此漏洞导致拒绝服务或获取敏感信息。 如果将Kerberos 4消息截短的话,就会使用栈上之前的内容取代消息缺失的部分,而主名称中有些部分是从消息中的字符串读取的。这些字符串仅限于40字节或缓冲区中所找到的下一个ASCII NUL。如果KDC返回的错误消息显示数据库中没有找到主名称的话,就会在错误消息中包含主名称,其中可能包含有之前的栈内容。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有23条受影响产品信息
