Microsoft Windows多个平台Kerberos敏感信息泄露漏洞

CVE编号

CVE-2011-0091

利用情况

暂无

补丁情况

N/A

披露时间

2011-02-11

漏洞描述

Kerberos是一款广泛使用的使用强壮的加密来验证客户端和服务器端的网络协议。其设计目标是通过密钥系统为客户机/ 服务器应用程序提供强大的认证服务。 Microsoft Windows Server 2008 R2和Windows 7中的Kerberos没有防止会话从强加密变成DES加密。中间人攻击者可以借助DES降级版欺骗网络通信并获取敏感信息。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://www.microsoft.com/technet/security/Bulletin/MS11-013.mspx

参考链接
http://osvdb.org/70835
http://secunia.com/advisories/43257
http://support.avaya.com/css/P8/documents/100127250
http://www.securityfocus.com/bid/46140
http://www.securitytracker.com/id?1025048
http://www.vupen.com/english/advisories/2011/0326
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-013
https://exchange.xforce.ibmcloud.com/vulnerabilities/64901
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	microsoft	windows_7	-	-
	运行在以下环境
	系统	microsoft	windows_server_2008	r2	-

CVSS3评分 6.4

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 N/A
• 用户交互 无
• 可用性 无
• 保密性 部分地
• 完整性 部分地

AV:N/AC:L/Au:N/C:P/I:P/A:N

CWE-ID	漏洞类型
CWE-287	认证机制不恰当

Exp相关链接

- avd.aliyun.com