CVE-2015-8629

Опубликовано: 08 янв. 2016

Источник: redhat

CVSS2: 2.1

EPSS Низкий

Описание

The xdr_nullstring function in lib/kadm5/kadm_rpc_xdr.c in kadmind in MIT Kerberos 5 (aka krb5) before 1.13.4 and 1.14.x before 1.14.1 does not verify whether '\0' characters exist as expected, which allows remote authenticated users to obtain sensitive information or cause a denial of service (out-of-bounds read) via a crafted string.

An out-of-bounds read flaw was found in the kadmind service of MIT Kerberos. An authenticated attacker could send a maliciously crafted message to force kadmind to read beyond the end of allocated memory, and write the memory contents to the KDC database if the attacker has write permission, leading to information disclosure.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 5	krb5	Will not fix
Red Hat JBoss Enterprise Web Server 2	krb5	Not affected
Red Hat Enterprise Linux 6	krb5	Fixed	RHSA-2016:0493	22.03.2016
Red Hat Enterprise Linux 7	krb5	Fixed	RHSA-2016:0532	31.03.2016

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

Дефект:

CWE-119

https://bugzilla.redhat.com/show_bug.cgi?id=1302617krb5: xdr_nullstring() doesn't check for terminating null character

EPSS

Процентиль: 71%

0.00681

Низкий

2.1 Low

CVSS2

Связанные уязвимости

CVE-2015-8629

CVSS3: 5.3

ubuntu

больше 9 лет назад

CVE-2015-8629

CVSS3: 5.3

nvd

больше 9 лет назад

CVE-2015-8629

CVSS3: 5.3

debian

больше 9 лет назад

The xdr_nullstring function in lib/kadm5/kadm_rpc_xdr.c in kadmind in ...

GHSA-2xvp-5pfr-cwhc

CVSS3: 5.3

github

больше 3 лет назад

SUSE-SU-2016:0430-1

suse-cvrf

больше 9 лет назад

Security update for krb5

EPSS

Процентиль: 71%

0.00681

Низкий

2.1 Low

CVSS2