检测

MagicLinux 4 krb5-1.10.3-33.AXS4 (AXSA:2014-606:02)

critical Nessus 插件 ID 289469

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2014-606:02 公告中提及的多个漏洞的影响。

 描述:
 Kerberos V5 是受信任的第三方网络身份验证系统。该系统可以消除通过网络发送未加密形式的密码的不安全做法,从而提高网络的安全性。
 此版本修复的安全问题
 CVE-2013-14181.10.7之前的 MIT Kerberos 5又称 krb5中密钥分发中心 (KDC) 中 main.c 内的 setup_server_realm 函数在配置了多个领域时允许远程攻击者造成拒绝服务空指针取消引用和后台程序crash)通过构建的请求。
 CVE-2013-6800 MIT Kerberos 5即 krb5中用于 Key Distribution Center (KDC) 的一个不明第三方数据库模块 1.10.x 允许经认证的远程用户通过构建的请求造成拒绝服务空指针取消引用和后台程序崩溃。与 CVE-2013-1418不同的漏洞。
 CVE-2014-43411.12.2 之前的 MIT Kerberos 5也称为 krb5允许远程攻击者通过向 GSSAPI 应用程序会话注入无效标记而造成拒绝服务缓冲区读取越界和应用程序崩溃。
 CVE-2014-4342 MIT Kerberos 5也称为 krb5 1.7.x 至 1.12.x 之前的 1.12.2 允许远程攻击者通过向 GSSAPI 应用程序会话注入无效标记而造成拒绝服务缓冲区读取越界或空指针取消引用和应用程序崩溃。
 CVE-2014-4343 在 MIT Kerberos 5又称为 krb5中SPNEGO 发起程序的 init_ctx_reselect 函数中存在双重释放漏洞 1.10.x 至 1.12.x 之前的 1.12.2 允许远程攻击者造成拒绝服务内存corruption或可能通过似乎来自预期接收方但指定了与发起方建议的安全机制不同的安全机制的网络流量执行任意代码。
 CVE-2014-4344 MIT Kerberos 5又称为 krb5中 lib/gssapi/spnego/spnego_mech.c 中 SPNEGO 接收器中的 acc_ctx_cont 函数 1.5.x 至 1.12.x 之前的 1.12.2 允许远程攻击者造成拒绝服务空指针取消引用和应用程序崩溃崩溃。
 CVE-2014-4345 在 MIT Kerberos 5又称为 krb5中kadmind 的 LDAP KDB 模块中plugins/kdb/ldap/libkdb_ldap/ldap_principal2.c 中的 krb5_encode_krbsecretkey 函数存在差一错误 1.6.x 至 1.11.x 之前的 1.11.6 和 1.12.x before 1.12.2 允许经认证的远程用户通过一系列 cpw 造成拒绝服务缓冲区溢出或可能执行任意代码
 -keepold 命令。
 已修复缺陷
 这些更新后的 krb5 程序包也包括多个缺陷补丁。
 请参阅变更日志以获取更多信息。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/5064

插件详情

严重性: Critical

ID: 289469

文件名: miracle_linux_AXSA-2014-606.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.5

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 8.5

时间分数: 6.3

矢量: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2014-4345

CVSS v3

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:krb5-devel, p-cpe:/a:miracle:linux:krb5-server, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:krb5-server-ldap, p-cpe:/a:miracle:linux:krb5-libs, p-cpe:/a:miracle:linux:krb5-workstation, p-cpe:/a:miracle:linux:krb5-pkinit-openssl

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2014/10/20

漏洞发布日期: 2013/11/4

参考资料信息

CVE: CVE-2013-1418, CVE-2013-6800, CVE-2014-4341, CVE-2014-4342, CVE-2014-4343, CVE-2014-4344, CVE-2014-4345