Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-28196

Опубликовано: 06 нояб. 2020
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость бесконечной рекурсии в MIT Kerberos 5 из-за отсутствия предела рекурсии при использовании BER кодировки

Описание

В MIT Kerberos 5 присутствует уязвимость, связанная с отсутствием ограничения на рекурсию при обработке сообщений Kerberos, закодированных с использованием ASN.1 и поддерживающих неопределенную длину BER. Это происходит из-за отсутствия ограничения рекурсии в файле lib/krb5/asn.1/asn1_encode.c.

Затронутые версии ПО

  • MIT Kerberos 5 до релиза 1.17.2
  • Версии 1.18.x до релиза 1.18.3

Тип уязвимости

Бесконечная рекурсия

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mit:kerberos_5:*:*:*:*:*:*:*:*
Версия до 1.17.2 (исключая)
cpe:2.3:a:mit:kerberos_5:*:*:*:*:*:*:*:*
Версия от 1.18.0 (включая) до 1.18.3 (исключая)
Конфигурация 2
cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:*
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:*
cpe:2.3:a:netapp:cloud_backup:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:oncommand_workflow_automation:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:snapcenter:-:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:oracle:communications_cloud_native_core_policy:1.14.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_offline_mediation_controller:12.0.0.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_pricing_design_center:12.0.0.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:mysql_server:*:*:*:*:*:*:*:*
Версия до 8.0.23 (включая)

EPSS

Процентиль: 59%
0.00378
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-674

Связанные уязвимости

ubuntu логотип

CVE-2020-28196

CVSS3: 7.5
ubuntu
больше 4 лет назад

MIT Kerberos 5 (aka krb5) before 1.17.2 and 1.18.x before 1.18.3 allows unbounded recursion via an ASN.1-encoded Kerberos message because the lib/krb5/asn.1/asn1_encode.c support for BER indefinite lengths lacks a recursion limit.

redhat логотип

CVE-2020-28196

CVSS3: 7.5
redhat
больше 4 лет назад

MIT Kerberos 5 (aka krb5) before 1.17.2 and 1.18.x before 1.18.3 allows unbounded recursion via an ASN.1-encoded Kerberos message because the lib/krb5/asn.1/asn1_encode.c support for BER indefinite lengths lacks a recursion limit.

msrc логотип

CVE-2020-28196

CVSS3: 7.5
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2020-28196

CVSS3: 7.5
debian
больше 4 лет назад

MIT Kerberos 5 (aka krb5) before 1.17.2 and 1.18.x before 1.18.3 allow ...

suse-cvrf логотип

openSUSE-SU-2020:2062-1

suse-cvrf
больше 4 лет назад

Security update for krb5

EPSS

Процентиль: 59%
0.00378
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-674