安全公告/【CVE-2023-25565】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:gssntlmssp
CVSS评分:7.5
发现日期:2024-09-19
修复日期:2024-10-09
修复版本:gssntlmssp-1.2.0-1

漏洞描述

GSS-NTLMSSP 是 GSSAPI 库的一个 mechglue 插件,用于实现 NTLM 身份验证。在 1.2.0 版本之前,解码目标信息时不正确的释放可能会触发拒绝服务。错误条件错误地假设“cb”和“sh”缓冲区包含需要释放的数据副本。但事实并非如此。此漏洞可以通过主“gss_accept_sec_context”入口点触发。这很可能会触发“free”中的断言失败,从而导致拒绝服务。此问题已在 1.2.0 版本中修复。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
dnf update gssntlmssp

补丁

参考

https://github.com/gssapi/gss-ntlmssp/releases/tag/v1.2.0;https://github.com/gssapi/gss-ntlmssp/commit/c16100f60907a2de92bcb676f303b81facee0f64;https://github.com/gssapi/gss-ntlmssp/security/advisories/GHSA-7q7f-wqcg-mvfg