安全公告/【CVE-2023-25567】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:gssntlmssp
CVSS评分:7.5
发现日期:2024-09-19
修复日期:2024-10-09
修复版本:gssntlmssp-1.2.0-1

漏洞描述

GSS-NTLMSSP 是 GSSAPI 库的一个 mechglue 插件,用于实现 NTLM 身份验证,在解码 1.2.0 版之前的目标信息时,会发生越界读取。对于可能触发越界读取的两个元素,未正确检查 `av_pair` 的长度。越界读取可通过主 `gss_accept_sec_context` 入口点触发,如果内存未映射,则可能导致拒绝服务。此问题已在 1.2.0 版中修复。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
dnf update gssntlmssp

补丁

参考

https://github.com/gssapi/gss-ntlmssp/security/advisories/GHSA-24pf-6prf-24ch;https://github.com/gssapi/gss-ntlmssp/releases/tag/v1.2.0;https://github.com/gssapi/gss-ntlmssp/commit/025fbb756d44ffee8f847db4222ed6aa4bd1fbe4