安全研究
安全漏洞
KTH Kerberos 4 /tmp符号链接竞争漏洞
发布日期:2000-12-12
更新日期:2000-12-12
受影响系统:
KTH Kerberos 4 1.0.3-1.0以及更低版本
不受影响系统:
KTH Kerberos 4 1.0.4
描述:
Kerberos 是一种广泛使用的网络服务验证系统。KTH(瑞典皇家科学院)开发维护的的
某些版本存在一个本地/tmp条件竞争漏洞,可能导致拒绝服务漏洞。
Kerberos系统在创建票据的时候会在/tmp目录下创建临时文件。这些文件的名字是可以
被攻击者预测的。如果使用正确的文件名在/tmp建立一个符号链接,那么当Kerberos
创建票据时,链接所指向的文件将被覆盖。
如果被破坏的文件是重要的系统文件,将可能导致拒绝服务攻击。
<* 来源:Jouko Pynnonen (
jouko@solutions.fi) *>
建议:
厂商补丁:
升级到 KTH Kerberos 4 version 1.0.4:
ftp://ftp.pdc.kth.se/pub/krb/src/krb4-1.0.4.tar.gz
浏览次数:5476
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |