安全公告/【CVE-2023-25565】
基本信息
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:gssntlmssp
CVSS评分:7.5
发现日期:2024-09-19
修复日期:2024-10-09
修复版本:gssntlmssp-1.2.0-1
漏洞描述
GSS-NTLMSSP 是 GSSAPI 库的一个 mechglue 插件,用于实现 NTLM 身份验证。在 1.2.0 版本之前,解码目标信息时不正确的释放可能会触发拒绝服务。错误条件错误地假设“cb”和“sh”缓冲区包含需要释放的数据副本。但事实并非如此。此漏洞可以通过主“gss_accept_sec_context”入口点触发。这很可能会触发“free”中的断言失败,从而导致拒绝服务。此问题已在 1.2.0 版本中修复。
漏洞判定
执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复
修复方式
软件包升级 dnf update gssntlmssp
参考
https://github.com/gssapi/gss-ntlmssp/releases/tag/v1.2.0;https://github.com/gssapi/gss-ntlmssp/commit/c16100f60907a2de92bcb676f303b81facee0f64;https://github.com/gssapi/gss-ntlmssp/security/advisories/GHSA-7q7f-wqcg-mvfg