CVE-2003-0139
CVSS7.5
发布时间 :2003-03-24 00:00:00
修订时间 :2016-10-17 22:30:00
NMCO    

[原文]Certain weaknesses in the implementation of version 4 of the Kerberos protocol (krb4) in the krb5 distribution, when triple-DES keys are used to key krb4 services, allow an attacker to create krb4 tickets for unauthorized principals using a cut-and-paste attack and "ticket splicing."


[CNNVD]Krb5 distribution Kerberos protocol (krb4)安装启用程序认证管理漏洞(CNNVD-200303-071)

        Krb5 distribution的Kerberos protocol (krb4)安装启用程序版本4在使用triple-DES作为key krb4 services的密钥时存在某些漏洞,攻击者可以通过使用cut-and-paste攻击和“ticket splicing”创建未认证委托的krb4 tickets。

- CVSS (基础分值)

CVSS分值: 7.5 [严重(HIGH)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

oval:org.mitre.oval:def:250Kerberos krb4 Ticket Splicing Vulnerability
*OVAL详细的描述了检测该漏洞的方法,你可以从相关的OVAL定义中找到更多检测该漏洞的技术细节。

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0139
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2003-0139
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200303-071
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=bugtraq&m=104791775804776&w=2
(UNKNOWN)  BUGTRAQ  20030319 MITKRB5-SA-2003-004: Cryptographic weaknesses in Kerberos v4
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-004-krb4.txt
(VENDOR_ADVISORY)  CONFIRM  http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-004-krb4.txt
http://www.debian.org/security/2003/dsa-266
(UNKNOWN)  DEBIAN  DSA-266
http://www.debian.org/security/2003/dsa-273
(UNKNOWN)  DEBIAN  DSA-273
http://www.kb.cert.org/vuls/id/442569
(VENDOR_ADVISORY)  CERT-VN  VU#442569
http://www.redhat.com/support/errata/RHSA-2003-051.html
(UNKNOWN)  REDHAT  RHSA-2003:051
http://www.redhat.com/support/errata/RHSA-2003-052.html
(UNKNOWN)  REDHAT  RHSA-2003:052
http://www.redhat.com/support/errata/RHSA-2003-091.html
(UNKNOWN)  REDHAT  RHSA-2003:091
http://www.securityfocus.com/archive/1/archive/1/316960/30/25250/threaded
(UNKNOWN)  BUGTRAQ  20030331 GLSA: krb5 & mit-krb5 (200303-28)
http://www.securityfocus.com/archive/1/archive/1/317130/30/25250/threaded
(UNKNOWN)  BUGTRAQ  20030330 GLSA: openafs (200303-26)

- 漏洞信息

Krb5 distribution Kerberos protocol (krb4)安装启用程序认证管理漏洞
高危 未知
2003-03-24 00:00:00 2005-10-20 00:00:00
远程  
        Krb5 distribution的Kerberos protocol (krb4)安装启用程序版本4在使用triple-DES作为key krb4 services的密钥时存在某些漏洞,攻击者可以通过使用cut-and-paste攻击和“ticket splicing”创建未认证委托的krb4 tickets。

- 公告与补丁

        

- 漏洞信息

4868
MIT Kerberos 4 Triple DES Service Ticket Splicing

- 漏洞描述

- 时间线

2003-03-17 Unknow
Unknow Unknow

- 解决方案

Products

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站