Bulletin d'alerte Debian

DLA-203-1 openldap -- Mise à jour de sécurité pour LTS

Date du rapport :
18 avril 2015
Paquets concernés :
openldap
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 663644, Bogue 729367, Bogue 761406, Bogue 776988.
Dans le dictionnaire CVE du Mitre : CVE-2012-1164, CVE-2013-4449, CVE-2014-9713, CVE-2015-1545.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenLDAP, une implémentation libre du protocole « Lightweight Directory Access Protocol » (LDAP).

Veuillez vérifier soigneusement si vous êtes affecté par CVE-2014-9713 : si c'est le cas, vous devrez mettre à niveau vous-même votre configuration ! Pour plus de détails, voir plus bas. La mise à niveau des paquets pourrait ne pas suffire !

  • CVE-2012-1164

    Correction d'un plantage lors de la réalisation d'une recherche attrsOnly dans une base de données configurée avec à la fois les surcouches RWM et « translucent ».

  • CVE-2013-4449

    Michael Vishchers de Seven Principles AG a découvert une vulnérabilité de déni de service dans slapd, l'implémentation du serveur d'annuaire. Lorsque le serveur est configuré pour utiliser la surcouche RWM, un attaquant peut le faire planter en le libérant juste après la connexion, à cause d'un problème de comptage de référence.

  • CVE-2014-9713

    La configuration par défaut de Debian de la base de données d'annuaires permet à chaque utilisateur de modifier ses propres attributs. Quand les répertoires LDAP sont utilisés pour le contrôle d'accès, et que cela est fait en utilisant les attributs de l'utilisateur, un utilisateur authentifié peut utiliser cela pour obtenir l'accès à des ressources non autorisées.

    Veuillez noter qu'il s'agit d'une vulnérabilité spécifique à Debian.

    Le nouveau paquet n'utilisera pas la règle de contrôle d'accès non sécurisée pour les nouvelles bases de données, mais les configurations existantes ne seront pas automatiquement modifiées. Les administrateurs sont invités à consulter le fichier README.Debian fourni par le paquet mis à jour, s'ils ont besoin de corriger les règles de contrôle d'accès.

  • CVE-2015-1545

    Ryan Tandy a découvert une vulnérabilité de déni de service dans slapd. Lors de l'utilisation de la surcouche deref, la fourniture d'une liste d'attributs vide dans une requête fait planter le démon.

Merci à Ryan Tandy pour la préparation de cette mise à jour.