Bulletin d'alerte Debian
DSA-1758-1 nss-ldapd -- Création non sécurisée du fichier de configuration
- Date du rapport :
- 30 mars 2009
- Paquets concernés :
- nss-ldapd
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 520476.
Dans le dictionnaire CVE du Mitre : CVE-2009-1073. - Plus de précisions :
-
Leigh James a découvert que nss-ldapd, un module NSS pour l'utilisation de LDAP comme service de nommage, crée par défaut le fichier de configuration /etc/nss-ldapd.conf lisible par tous, ce qui pourrait divulguer le mot de passe LDAP configuré s'il est utilisé pour se connecter au serveur LDAP.
L'ancienne distribution stable (Etch) ne contient pas nss-ldapd.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.6.7.1.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.6.8.
Nous vous recommandons de mettre à jour votre paquet nss-ldapd.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/n/nss-ldapd/nss-ldapd_0.6.7.1.dsc
- http://security.debian.org/pool/updates/main/n/nss-ldapd/nss-ldapd_0.6.7.1.tar.gz
- http://security.debian.org/pool/updates/main/n/nss-ldapd/nss-ldapd_0.6.7.1.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.