CVE-2009-0846 (CNNVD-200904-193)
CRITICAL
中文标题:
MIT Kerberos 程序asn1_decode.c函数asn1_decode_generaltime 拒绝服务漏洞
英文标题:
The asn1_decode_generaltime function in lib/krb5/asn.1/asn1_decode.c in the ASN.1 GeneralizedTime de...
CVSS分数:
10.0
发布时间:
2009-04-09 00:00:00
漏洞类型:
输入验证错误
状态:
PUBLISHED
数据质量分数:
0.30
数据版本:
v3
漏洞描述
中文描述:
Kerberos是美国麻省理工学院(MIT)开发的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等。MIT Kerberos 5(又名krb5)是美国麻省理工学院(MIT)开发的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等。 Kerberos所使用的ASN.1解码器中存在输入验证错误,在某些情况下用于解码ASN.1 GeneralizedTime类型DER编码的asn1_decode_generaltime()函数可能会释放仍未初始化的指针。远程攻击者可以利用这个漏洞导致使用Kerberos库的网络服务(如kadmind或krb5kdc)崩溃。
英文描述:
The asn1_decode_generaltime function in lib/krb5/asn.1/asn1_decode.c in the ASN.1 GeneralizedTime decoder in MIT Kerberos 5 (aka krb5) before 1.6.4 allows remote attackers to cause a denial of service (daemon crash) or possibly execute arbitrary code via vectors involving an invalid DER encoding that triggers a free of an uninitialized pointer.
CWE类型:
CWE-824
标签:
(暂无数据)
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| mit | kerberos_5 | * | - | - |
cpe:2.3:a:mit:kerberos_5:*:*:*:*:*:*:*:*
|
| fedoraproject | fedora | 9 | - | - |
cpe:2.3:o:fedoraproject:fedora:9:*:*:*:*:*:*:*
|
| fedoraproject | fedora | 10 | - | - |
cpe:2.3:o:fedoraproject:fedora:10:*:*:*:*:*:*:*
|
| canonical | ubuntu_linux | 6.06 | - | - |
cpe:2.3:o:canonical:ubuntu_linux:6.06:*:*:*:*:*:*:*
|
| canonical | ubuntu_linux | 7.10 | - | - |
cpe:2.3:o:canonical:ubuntu_linux:7.10:*:*:*:*:*:*:*
|
| canonical | ubuntu_linux | 8.04 | - | - |
cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:*:*:*:*
|
| canonical | ubuntu_linux | 8.10 | - | - |
cpe:2.3:o:canonical:ubuntu_linux:8.10:*:*:*:*:*:*:*
|
| apple | mac_os_x | * | - | - |
cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:*
|
| redhat | enterprise_linux | 4.0 | - | - |
cpe:2.3:o:redhat:enterprise_linux:4.0:*:*:*:*:*:*:*
|
| redhat | enterprise_linux_desktop | 3.0 | - | - |
cpe:2.3:o:redhat:enterprise_linux_desktop:3.0:*:*:*:*:*:*:*
|
| redhat | enterprise_linux_desktop | 4.0 | - | - |
cpe:2.3:o:redhat:enterprise_linux_desktop:4.0:*:*:*:*:*:*:*
|
| redhat | enterprise_linux_eus | 4.7 | - | - |
cpe:2.3:o:redhat:enterprise_linux_eus:4.7:*:*:*:*:*:*:*
|
| redhat | enterprise_linux_server | 2.0 | - | - |
cpe:2.3:o:redhat:enterprise_linux_server:2.0:*:*:*:*:*:*:*
|
| redhat | enterprise_linux_server | 3.0 | - | - |
cpe:2.3:o:redhat:enterprise_linux_server:3.0:*:*:*:*:*:*:*
|
| redhat | enterprise_linux_server | 4.0 | - | - |
cpe:2.3:o:redhat:enterprise_linux_server:4.0:*:*:*:*:*:*:*
|
| redhat | enterprise_linux_workstation | 2.0 | - | - |
cpe:2.3:o:redhat:enterprise_linux_workstation:2.0:*:*:*:*:*:*:*
|
| redhat | enterprise_linux_workstation | 3.0 | - | - |
cpe:2.3:o:redhat:enterprise_linux_workstation:3.0:*:*:*:*:*:*:*
|
| redhat | enterprise_linux_workstation | 4.0 | - | - |
cpe:2.3:o:redhat:enterprise_linux_workstation:4.0:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
20090701 VMSA-2009-0008 ESX Service Console update for krb5
mailing-list
cve.org
访问
cve.org
无标题
x_refsource_MISC
cve.org
访问
cve.org
oval:org.mitre.oval:def:6301
vdb-entry
cve.org
访问
cve.org
MDVSA-2009:098
vendor-advisory
cve.org
访问
cve.org
VU#662091
third-party-advisory
cve.org
访问
cve.org
20090407 MITKRB5-SA-2009-002: ASN.1 decoder frees uninitialized pointer [CVE-2009-0846]
mailing-list
cve.org
访问
cve.org
ADV-2009-0960
vdb-entry
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
35667
third-party-advisory
cve.org
访问
cve.org
RHSA-2009:0408
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
34637
third-party-advisory
cve.org
访问
cve.org
SSRT100495
vendor-advisory
cve.org
访问
cve.org
ADV-2009-2084
vdb-entry
cve.org
访问
cve.org
oval:org.mitre.oval:def:10694
vdb-entry
cve.org
访问
cve.org
34640
third-party-advisory
cve.org
访问
cve.org
35074
third-party-advisory
cve.org
访问
cve.org
256728
vendor-advisory
cve.org
访问
cve.org
GLSA-200904-09
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_MISC
cve.org
访问
cve.org
ADV-2009-0976
vdb-entry
cve.org
访问
cve.org
APPLE-SA-2009-05-12
vendor-advisory
cve.org
访问
cve.org
USN-755-1
vendor-advisory
cve.org
访问
cve.org
34630
third-party-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
oval:org.mitre.oval:def:5483
vdb-entry
cve.org
访问
cve.org
ADV-2009-1057
vdb-entry
cve.org
访问
cve.org
34617
third-party-advisory
cve.org
访问
cve.org
34628
third-party-advisory
cve.org
访问
cve.org
34734
third-party-advisory
cve.org
访问
cve.org
ADV-2009-2248
vdb-entry
cve.org
访问
cve.org
TA09-133A
third-party-advisory
cve.org
访问
cve.org
无标题
x_refsource_MISC
cve.org
访问
cve.org
34598
third-party-advisory
cve.org
访问
cve.org
RHSA-2009:0409
vendor-advisory
cve.org
访问
cve.org
ADV-2009-1297
vdb-entry
cve.org
访问
cve.org
34622
third-party-advisory
cve.org
访问
cve.org
1021994
vdb-entry
cve.org
访问
cve.org
FEDORA-2009-2852
vendor-advisory
cve.org
访问
cve.org
FEDORA-2009-2834
vendor-advisory
cve.org
访问
cve.org
RHSA-2009:0410
vendor-advisory
cve.org
访问
cve.org
[security-announce] 20090701 VMSA-2009-0008 ESX Service Console update for krb5
mailing-list
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
20090407 rPSA-2009-0058-1 krb5 krb5-server krb5-services krb5-test krb5-workstation
mailing-list
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
34594
third-party-advisory
cve.org
访问
cve.org
ADV-2009-1106
vdb-entry
cve.org
访问
cve.org
HPSBUX02421
vendor-advisory
cve.org
访问
cve.org
34409
vdb-entry
cve.org
访问
cve.org
CVSS评分详情
10.0
CRITICAL
CVSS向量:
AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS版本:
2.0
机密性
COMPLETE
完整性
COMPLETE
可用性
COMPLETE
时间信息
发布时间:
2009-04-09 00:00:00
修改时间:
2024-08-07 04:48:52
创建时间:
2025-11-11 15:33:00
更新时间:
2025-11-11 15:49:34
利用信息
暂无可利用代码信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2009-0846 |
2025-11-11 15:18:09 | 2025-11-11 07:33:00 |
| NVD | nvd_CVE-2009-0846 |
2025-11-11 14:52:59 | 2025-11-11 07:41:47 |
| CNNVD | cnnvd_CNNVD-200904-193 |
2025-11-11 15:09:05 | 2025-11-11 07:49:34 |
版本与语言
当前版本:
v3
主要语言:
EN
支持语言:
EN
ZH
安全公告
暂无安全公告信息
变更历史
v3
CNNVD
2025-11-11 15:49:34
vulnerability_type: 未提取 → 输入验证错误; cnnvd_id: 未提取 → CNNVD-200904-193; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
- vulnerability_type: 未提取 -> 输入验证错误
- cnnvd_id: 未提取 -> CNNVD-200904-193
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2
NVD
2025-11-11 15:41:47
severity: SeverityLevel.MEDIUM → SeverityLevel.CRITICAL; cvss_score: 未提取 → 10.0; cvss_vector: NOT_EXTRACTED → AV:N/AC:L/Au:N/C:C/I:C/A:C; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 18; references_count: 52 → 50; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
- severity: SeverityLevel.MEDIUM -> SeverityLevel.CRITICAL
- cvss_score: 未提取 -> 10.0
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:C/I:C/A:C
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 18
- references_count: 52 -> 50
- data_sources: ['cve'] -> ['cve', 'nvd']