PT-2024-6104 · Mit+10 · Mit Kerberos 5+10

Jacob Champion

·

Publicado

2024-06-27

·

Atualizado

2026-02-18

·

CVE-2024-37370

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do MIT Kerberos 5 anteriores à 1.21.3
Descrição
O problema está relacionado à modificação do campo Extra Count em texto simples de um token GSS krb5 confidencial. Isso pode fazer com que o token descompactado apareça truncado para o aplicativo, permitindo potencialmente que um invasor remoto obtenha acesso não autorizado ao token GSS krb5.
Recomendações
Para versões anteriores à 1.21.3, atualize para a versão 1.21.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao token GSS krb5 para minimizar o risco de exploração.

Correção

Insufficient Verification of Data Authenticity

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345CWE-20

Identificadores relacionados

ALSA-2024:5312
ALSA-2024:6166
ALT-PU-2024-9477
ALT-PU-2024-9479
ALT-PU-2025-1464
AZL-42991
AZL-43002
BDU:2024-07016
CESA-2024_5312
CVE-2024-37370
DSA-5726-1
INFSA-2024_5312
INFSA-2024_6166
MGASA-2024-0253
OESA-2024-1825
OPENSUSE-SU-2024:14111-1
OPENSUSE-SU-2024_2302-1
OPENSUSE-SU-2024_2303-1
OPENSUSE-SU-2024_2307-1
OPENSUSE-SU-2024_2322-1
RHSA-2024:4734
RHSA-2024:4743
RHSA-2024:5076
RHSA-2024:5312
RHSA-2024:5316
RHSA-2024:5625
RHSA-2024:5630
RHSA-2024:5643
RHSA-2024:5884
RHSA-2024:6166
RHSA-2024_5312
RHSA-2024_6166
SUSE-SU-2024:2300-1
SUSE-SU-2024:2302-1
SUSE-SU-2024:2303-1
SUSE-SU-2024:2305-1
SUSE-SU-2024:2307-1
SUSE-SU-2024:2322-1
SUSE-SU-2024_2300-1
SUSE-SU-2024_2302-1
SUSE-SU-2024_2303-1
SUSE-SU-2024_2305-1
SUSE-SU-2024_2307-1
SUSE-SU-2024_2322-1
SUSE-SU-2025:20051-1
USN-6947-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Mit Kerberos 5
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu