Debians sikkerhedsbulletin

DSA-3209-1 openldap -- sikkerhedsopdatering

Rapporteret den:
30. mar 2015
Berørte pakker:
openldap
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 729367, Fejl 761406, Fejl 776988.
I Mitres CVE-ordbog: CVE-2013-4449, CVE-2014-9713, CVE-2015-1545.
Yderligere oplysninger:

Adskillige sårbarheder er fundet i OpenLDAP, en fri implementering af Lightweight Directory Access Protocol.

  • CVE-2013-4449

    Michael Vishchers fra Seven Principles AG opdagede en lammelsesangrebssårbarhed (denial of service) i slapd, implementeringen af directoryserver. Når en server er opsat til at anvende RWM-overlay'et, kunne en angriber få den til at gå ned, ved at unbind'e lige efter at have etableret en forbindelse, på grund af et problem med optælling af referencer.

  • CVE-2014-9713

    Debians standardopsætning af directorydatabasen tillader at enhver bruger kan redigere sine egne attributter. Når LDAP-directories anvendes til adgangskontrol, og det sker ved hjælp af brugerattributter, kunne en autentificeret bruger udnytte det til at få adgang til uautoriserede ressourcer.

    Bemærk at det er en Debian-specifik sårbarhed.

    Den nye pakke anvender ikke den usikre adgangskontrolregel til ved nye databaser, men eksisterende opsætninger ændres ikke automatisk. Administratorer opfordres til at læse filen README.Debian, der følger med den opdaterede pakker, hvis de har behov for at rette adgangskontrolreglen.

  • CVE-2015-1545

    Ryan Tandy opdagede et en lammelsesangrebssårbarhed i slapd. Når der anvendes deref-overlay'et, kunne overførsel af en tom attributliste i en forespørgsmål få dæmonen til at gå ned.

I den stabile distribution (wheezy), er disse problemer rettet i version 2.4.31-2.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 2.4.40-4.

I den ustabile distribution (sid), er disse problemer rettet i version 2.4.40-4.

Vi anbefaler at du opgraderer dine openldap-pakker.