Рекомендация Debian по безопасности

DLA-203-1 openldap -- обновление безопасности LTS

Дата сообщения:
18.04.2015
Затронутые пакеты:
openldap
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 663644, Ошибка 729367, Ошибка 761406, Ошибка 776988.
В каталоге Mitre CVE: CVE-2012-1164, CVE-2013-4449, CVE-2014-9713, CVE-2015-1545.
Более подробная информация:

В OpenLDAP, свободной реализации протокола LDAP, были обнаружены многочисленные уязвимости.

Внимательно проверьте, подвержены ли ваши системы CVE-2014-9713: если да, то вам следует вручную обновить ваши настройки! Подробности по этому поводу см. ниже. Обычного обновления пакетов недостаточно!

  • CVE-2012-1164

    Исправление аварийной остановки при выполнении поиска attrsOnly из базы данных, настроенной с оверлеями rwm и translucent.

  • CVE-2013-4449

    Михаэль Фишерс из Seven Principles AG обнаружил отказ в обслуживании в slapd, реализации сервера каталогов. Если сервер настроен на использование оверлея RWM, то злоумышленник может аварийно завершить его работу путём отмены соединения, что происходит из-за проблемы с подсчётом ссылок.

  • CVE-2014-9713

    Настройки базы данных каталогов в Debian по умолчанию позволяют каждому пользователю редактировать собственные атрибуты. Если каталоги LDAP используются для управления доступом, и это сделано через пользовательские атрибуты, то аутентифицированный пользователь может использовать это для получения доступа к неавторизованным ресурсам.

    Заметьте, что эта уязвимость касается конкретно Debian.

    В новом пакете не используется небезопасное правило управления доступом для новых баз данных, но существующие настройки не будут изменены автоматически. Администраторам рекомендуется ознакомиться с файлом README.Debian, содержащимся в обновлённом пакете в том случае, если им следует исправить правило управления доступом.

  • CVE-2015-1545

    Райан Тэнди обнаружил отказ в обслуживании в slapd. При использовании оверлея deref передача пустого списка атрибутов в запросе приводит к аварийной остановке службы.

Выражаем благодарность Райану Тэнди за подготовку данного обновления.