CVE-2023-25564 in GSS-NTLMSSP
الملخص
بحسب VulDB • 15/06/2026
GSS-NTLMSSP هو ملحق mechglue لمكتبة GSSAPI ينفذ مصادقة NTLM. قبل الإصدار 1.2.0، يمكن حدوث تلف في الذاكرة عند فك تشفير سلاسل UTF16. لم يتم تهيئة المتغير `outlen` مما قد يؤدي إلى كتابة صفر في مكان عشوائي بالذاكرة إذا فشلت الدالة `ntlm_str_convert()`، وهو ما يترك `outlen` غير مهيأ. يمكن أن يؤدي ذلك إلى حجب الخدمة (Denial of Service) إذا استهدفت الكتابة ذاكرة غير مُحددة أو أفسدت بايتًًا بشكل عشوائي في مساحة ذاكرة التطبيق. يمكن لهذا الثغرة أن تسبب كتابة خارج النطاق (Out-of-bounds write)، مما يؤدي إلى تلف الذاكرة. يمكن تفعيل هذه الثغرة عبر نقطة الدخول الرئيسية `gss_accept_sec_context`. تم إصلاح هذه المشكلة في الإصدار 1.2.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.