发布日期：2006-11-21
更新日期：2006-11-28

受影响系统：

Apache mod_auth_kerb 5.2
Apache mod_auth_kerb 5.1
Apache mod_auth_kerb 5.0

描述：

---

BUGTRAQ  ID: 21214
CVE(CAN) ID: CVE-2006-5989

Apache是一款开放源代码WEB服务程序。

Apache的mod_auth_kerb模块实现上存在堆溢出漏洞，远程攻击者可能利用此漏洞导致模块拒绝服务。

在Apache的mod_auth_kerb模块的spnegokrb5/der_get.c文件中，der_get_oid()函数存在单字节溢出漏洞。攻击者可以通过发送特制的Kerberos消息触发堆溢出，导致拒绝服务。

<*来源：Josh Bressers
        Kevin Unthank
  
  链接：http://secunia.com/advisories/23023
        https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=216482
        https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=206736
*>

建议：

---

厂商补丁：

Apache
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://modauthkerb.cvs.sourceforge.net/modauthkerb/mod_auth_kerb/spnegokrb5/der_get.c?r1=1.1&r2=1.1.2.1

浏览次数：3317
严重程度：0（网友投票）