MIT Kerberos AES和RC4解密整数下溢漏洞 CVE-2009-4212 CNNVD-201001-093

10.0 AV AC AU C I A
发布: 2010-01-13
修订: 2020-01-21

Kerberos是美国麻省理工学院(MIT)开发的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等。MIT Kerberos 5(又名krb5)是美国麻省理工学院(MIT)开发的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等。 Kerberos的crypto库在执行AES和RC4解密操作时存在整数下溢漏洞,用户受骗解密了无效的AES或RC4密文就可以导致崩溃或堆破坏。成功的代码执行攻击可以入侵所有依赖于KDC进行认证的应用,但最可能的结果是由于内存错误或abort()调用而导致的崩溃。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有21条受影响产品信息