[SECURITY ADVISORY] GNU SASL Security Advisory: NULL pointer dereference 漏洞概述 GNU SASL 的 DIGEST-MD5 实现在处理某些无效输入时存在空指针解引用漏洞。该漏洞存在于未认证阶段,代码同时存在于客户端和服务器端。 影响范围 严重程度: High 受影响版本: 从 GNU SASL 初始版本 (0.0.0) 到 2.2.2 版本。 修复方案 1. 升级至 GNU SASL 2.3.3 或更高版本。 2. 禁用 DIGEST-MD5。 3. 对旧版 GNU SASL 应用补丁。 补丁链接 初始报告建议的补丁: https://codeberg.org/gsasl/gsasl/src/commit/6d995a029b28f4879e4a4e6c3b38f75aa78e97a 漏洞代码原始位置: https://codeberg.org/gsasl/gsasl/src/commit/a8d9a0e7fee5516b4ec58fae98e5c6d828d325/lib/digest-md5.c#L263 漏洞代码当前位置: https://codeberg.org/gsasl/gsasl/src/commit/3e0c72687f67f0bf28a628f3a08e44257f7c/lib/digest-md5/getsubopt.c#L70