The asn1_decode_generaltime function in lib/krb5/asn.1/asn1_decode.c in the ASN.1 GeneralizedTime decoder in MIT Kerberos 5 (aka krb5) before 1.6.4 allows remote attackers to cause a denial of service (daemon crash) or possibly execute arbitrary code via vectors involving an invalid DER encoding that triggers a free of an uninitialized pointer.
oryginał ENCVSS Vector
AV:N/AC:L/Au:N/C:C/I:C/A:CApple Mac Os X
OSApple< 10.5.7Canonical Ubuntu
OSCanonical6.067.108.048.10Fedora Project Fedora
OSFedoraproject109Mit Kerberos 5
APPMit< 1.6.4Red Hat Enterprise Linux
OSRedhat4.0Red Hat Enterprise Linux Desktop
OSRedhat3.04.0Red Hat Enterprise Linux Eus
OSRedhat4.7Red Hat Enterprise Linux Server
OSRedhat2.03.04.0Red Hat Enterprise Linux Workstation
OSRedhat2.03.04.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDoS
CWE
Referencje
Powiązane podatności
CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit
CVE-2024-5274CRITICAL9.6⚠ KEVPL ✓ten sam produkt
Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML
CVE-2024-4947CRITICAL9.6⚠ KEVPL ✓ten sam produkt
Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)
CVE-2024-4671CRITICAL9.6⚠ KEVPL ✓ten sam produkt
Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox