PT-2020-6887 · Mit+10 · Mit Kerberos 5+9

Publicado

2020-11-06

·

Atualizado

2025-12-03

·

CVE-2020-28196

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
MIT Kerberos 5 versões 1.17.2 e anteriores, versões 1.18.x anteriores à 1.18.3
MySQL Server versão 8.0.23 e anteriores
Descrição
O problema está relacionado a recursão ilimitada por meio de uma mensagem Kerberos codificada em ASN.1, devido à falta de um limite de recursão no suporte a comprimentos indefinidos BER no arquivo lib/krb5/asn.1/asn1 encode.c. Isso pode levar a uma negação de serviço. A vulnerabilidade pode ser explorada por um invasor remoto, potencialmente fazendo com que o sistema trave ou falhe repetidamente.
Recomendações
Para o MIT Kerberos 5 versões 1.17.2 e anteriores, atualize para a versão 1.17.2 ou posterior.
Para o MIT Kerberos 5 versões 1.18.x anteriores à 1.18.3, atualize para a versão 1.18.3 ou posterior.
Para o MySQL Server versão 8.0.23 e anteriores, atualize para uma versão posterior à 8.0.23.
Como solução temporária, considere restringir o acesso ao mecanismo de autenticação Kerberos até que um patch esteja disponível.

Correção

DoS

Uncontrolled Recursion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-674

Identificadores relacionados

ALT-PU-2020-3361
ALT-PU-2020-3405
ALT-PU-2021-1686
ALT-PU-2021-2079
ALT-PU-2021-2380
ALT-PU-2021-3668
BDU:2023-03437
CESA-2021_1593
CVE-2020-28196
DLA-2437-1
DSA-4795-1
MGASA-2021-0022
OESA-2021-1026
OPENSUSE-SU-2020:2037-1
OPENSUSE-SU-2020:2062-1
OPENSUSE-SU-2020_2037-1
OPENSUSE-SU-2020_2062-1
OPENSUSE-SU-2024:11549-1
RHSA-2021:1593
RHSA-2021:2239
RHSA-2021_1593
RLSA-2021:1593
SUSE-SU-2020:3375-1
SUSE-SU-2020:3377-1
SUSE-SU-2020:3379-1
SUSE-SU-2020_3375-1
SUSE-SU-2020_3377-1
SUSE-SU-2020_3379-1
USN-4635-1

Produtos afetados

Alt Linux
Astra Linux
Centos
Linuxmint
Mit Kerberos 5
Mysql Server
Red Hat
Rocky Linux
Suse
Ubuntu