发布日期：2000-12-12
更新日期：2000-12-12

受影响系统：

    KTH Kerberos 4 1.0.3-1.0以及更低版本

不受影响系统：

    KTH Kerberos 4 1.0.4

描述：

---

Kerberos 是一种广泛使用的网络服务验证系统。KTH(瑞典皇家科学院)开发维护的的
某些版本存在一个本地/tmp条件竞争漏洞，可能导致拒绝服务漏洞。

Kerberos系统在创建票据的时候会在/tmp目录下创建临时文件。这些文件的名字是可以
被攻击者预测的。如果使用正确的文件名在/tmp建立一个符号链接，那么当Kerberos
创建票据时，链接所指向的文件将被覆盖。

如果被破坏的文件是重要的系统文件，将可能导致拒绝服务攻击。

<* 来源：Jouko Pynnonen (jouko@solutions.fi) *>



建议：

---

厂商补丁：

    升级到 KTH Kerberos 4 version 1.0.4：
    ftp://ftp.pdc.kth.se/pub/krb/src/krb4-1.0.4.tar.gz


浏览次数：5469
严重程度：0（网友投票）