CVE-2023-25565 in GSS-NTLMSSP
Tóm tắt
Bởi VulDB • 02/07/2026
GSS-NTLMSSP là một plugin mechglue cho thư viện GSSAPI, triển khai xác thực NTLM. Trước phiên bản 1.2.0, việc giải phóng bộ nhớ không chính xác khi giải mã thông tin đích có thể kích hoạt tình trạng từ chối dịch vụ (DoS). Điều kiện lỗi giả định sai rằng các bộ đệm `cb` và `sh` chứa một bản sao của dữ liệu cần được giải phóng; tuy nhiên, điều này không đúng. Lỗ hổng bảo mật này có thể được khai thác thông qua điểm vào chính `gss_accept_sec_context`. Sự cố này sẽ rất dễ dẫn đến lỗi assertion trong hàm `free`, gây ra từ chối dịch vụ. Vấn đề này đã được khắc phục trong phiên bản 1.2.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.