安全公告/【CVE-2023-25567】
基本信息
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:gssntlmssp
CVSS评分:7.5
发现日期:2024-09-19
修复日期:2024-10-09
修复版本:gssntlmssp-1.2.0-1
漏洞描述
GSS-NTLMSSP 是 GSSAPI 库的一个 mechglue 插件,用于实现 NTLM 身份验证,在解码 1.2.0 版之前的目标信息时,会发生越界读取。对于可能触发越界读取的两个元素,未正确检查 `av_pair` 的长度。越界读取可通过主 `gss_accept_sec_context` 入口点触发,如果内存未映射,则可能导致拒绝服务。此问题已在 1.2.0 版中修复。
漏洞判定
执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复
修复方式
软件包升级 dnf update gssntlmssp
参考
https://github.com/gssapi/gss-ntlmssp/security/advisories/GHSA-24pf-6prf-24ch;https://github.com/gssapi/gss-ntlmssp/releases/tag/v1.2.0;https://github.com/gssapi/gss-ntlmssp/commit/025fbb756d44ffee8f847db4222ed6aa4bd1fbe4