MIT Kerberos GSS-API校验和空指针引用拒绝服务漏洞

影响版本:
MIT Kerberos 5 1.8
MIT Kerberos 5 1.7
MIT Kerberos 5 1.6

漏洞描述:
BUGTRAQ  ID: 40235
CVE ID: CVE-2010-1321

Kerberos是一款广泛使用的使用强壮的加密来验证客户端和服务器端的网络协议。MIT Kerberos 5是一种常用的开源Kerberos实现。

MIT Kerberos的GSS-API库中存在空指针引用错误，通过认证的远程攻击者可以通过发送缺少校验和字段的特制GSS-API令牌来利用这个漏洞，导致使用GSS-API认证机制的服务器应用崩溃。

<*参考
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2010-005.txt
http://secunia.com/advisories/39762/
https://www.redhat.com/support/errata/RHSA-2010-0423.html
*>

安全建议:
厂商补丁：

MIT
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://web.mit.edu/kerberos/advisories/2010-005-patch.txt
http://web.mit.edu/kerberos/advisories/2010-005-patch.txt.asc
http://web.mit.edu/kerberos/advisories/2010-005-patch_r16.txt
http://web.mit.edu/kerberos/advisories/2010-005-patch_r16.txt.asc

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2010:0423-01）以及相应补丁:
RHSA-2010:0423-01：Important: krb5 security update
链接：https://www.redhat.com/support/errata/RHSA-2010-0423.html