Рекомендация Debian по безопасности

DSA-3209-1 openldap -- обновление безопасности

Дата сообщения:
30.03.2015
Затронутые пакеты:
openldap
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 729367, Ошибка 761406, Ошибка 776988.
В каталоге Mitre CVE: CVE-2013-4449, CVE-2014-9713, CVE-2015-1545.
Более подробная информация:

В OpenLDAP, свободной реализации протокола Lightweight Directory Access Protocol, были обнаружен многочисленные уязвимости.

  • CVE-2013-4449

    Михаэль Вишерс из Seven Principles AG обнаружил отказ в обслуживании в slapd, реализации сервера директорий. Если сервер настроен на использование оверлея RWM, злоумышленник может аварийно завершить его работу путём отвязывания после подключения, это возможно из-за проблемы с подсчётом ссылок.

  • CVE-2014-9713

    Настройки базы данных директорий по умолчанию в Debian позволяет каждому пользователю редактировать свои собственные атрибуты. Когда для управления доступом используются директории LDAP, и управление доступом выполняется с помощью пользовательских атрибутов, аутентифицированный пользователь может использовать эту уязвимость для получения доступа к закрытым для него ресурсам.

    Обратите внимание, что эта уязвимость касается конкретно Debian.

    Новый пакет не будет использовать небезопасное правило управления доступом для новых баз данных, но существующие настройки не будут изменены автоматически. Администраторам следует обратиться к файлу README.Debian, поставляемому в обновлённом пакете, если им нужно исправить правило управления доступом.

  • CVE-2015-1545

    Райан Тэнди обнаружил отказ в обслуживании в slapd. При использовании оверлея deref, передача пустого списка атрибутов в запросе приводит к аварийному завершению работы службы.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.4.31-2.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.4.40-4.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.4.40-4.

Рекомендуется обновить пакеты openldap.