Программа: Kerberos 5 Key Distribution Center (KDC) 1.3.4 и более ранние версии 

Несколько уязвимостей двойного освобождения памяти обнаружено в Kerberos 5 Key Distribution Center (KDC). Удаленный пользователь может выполнить произвольный код и скомпрометировать Kerberos домен. 

Уязвимость обнаружена в ASN.1 функции декодирования.Некоторые библиотечные функции, которые получают ошибку из ASN.1 декодера могут освободить не нулевой указатель. 

Также сообщается, что функция krb5_rd_cred() освобождает только что освобожденный буфер, возвращенный функцией decode_krb5_enc_cred_part(). 

Патч, описанный в версии 1.2.8, который отключает krb4 cross-realm аутентификацию в krb524d, содержит уязвимость двойного освобождения памяти.

Оставить мнение