安全公告/【CVE-2023-25564】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:gssntlmssp
CVSS评分:8.2
发现日期:2024-09-19
修复日期:2024-10-09
修复版本:gssntlmssp-1.2.0-1

漏洞描述

GSS-NTLMSSP 是 GSSAPI 库的一个 mechglue 插件,用于实现 NTLM 身份验证。在 1.2.0 版本之前,解码 UTF16 字符串时可能会触发内存损坏。变量“outlen”未初始化,如果“ntlm_str_convert()”失败,则可能导致将零写入内存中的任意位置,这将导致“outlen”未初始化。如果写入命中未映射的内存或随机损坏应用程序内存空间中的字节,则可能导致拒绝服务。此漏洞可能触发越界写入,从而导致内存损坏。此漏洞可以通过主“gss_accept_sec_context”入口点触发。此问题已在 1.2.0 版本中修复。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
dnf update gssntlmssp

补丁

参考

https://github.com/gssapi/gss-ntlmssp/commit/c753000eb31835c0664e528fbc99378ae0cbe950;https://github.com/gssapi/gss-ntlmssp/releases/tag/v1.2.0;https://github.com/gssapi/gss-ntlmssp/security/advisories/GHSA-r85x-q5px-9xfq