首页 -> 安全研究

安全研究

安全漏洞
KTH Kerberos 4 /tmp符号链接竞争漏洞

发布日期:2000-12-12
更新日期:2000-12-12

受影响系统:

    KTH Kerberos 4 1.0.3-1.0以及更低版本
不受影响系统:

    KTH Kerberos 4 1.0.4
描述:

Kerberos 是一种广泛使用的网络服务验证系统。KTH(瑞典皇家科学院)开发维护的的
某些版本存在一个本地/tmp条件竞争漏洞,可能导致拒绝服务漏洞。

Kerberos系统在创建票据的时候会在/tmp目录下创建临时文件。这些文件的名字是可以
被攻击者预测的。如果使用正确的文件名在/tmp建立一个符号链接,那么当Kerberos
创建票据时,链接所指向的文件将被覆盖。

如果被破坏的文件是重要的系统文件,将可能导致拒绝服务攻击。

<* 来源:Jouko Pynnonen (jouko@solutions.fi) *>



建议:

厂商补丁:

    升级到 KTH Kerberos 4 version 1.0.4:
    ftp://ftp.pdc.kth.se/pub/krb/src/krb4-1.0.4.tar.gz


浏览次数:5476
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障