Säkerhetsbulletin från Debian

DSA-3209-1 openldap -- säkerhetsuppdatering

Rapporterat den:
2015-03-30
Berörda paket:
openldap
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 729367, Fel 761406, Fel 776988.
I Mitres CVE-förteckning: CVE-2013-4449, CVE-2014-9713, CVE-2015-1545.
Ytterligare information:

Flera sårbarheter har upptäckts i OpenLDAP, en fri implementation av Lightweight Directory Access Protocol.

  • CVE-2013-4449

    Michael Vishchers från Seven Principles AG upptäckte en överbelastningssårbarhet i directoryserverimplementationen slapd. När servern är konfigurerad att använda RWM-overlay kan en angripare få den att krascha genom att befria precis efter att ha anslutit, på grund av ett problem med referensräkning.

  • CVE-2014-9713

    Debians standardkonfiguration av mappdatabasen tillåter varje användare att redigera sina attribut. När LDAP-mappar används för åtkomstkontroll, och det görs med hjälp av användarattribut, kan en autentiserad användare utnyttja detta för att få åtkomst till resurser som dom inte skall ha åtkomst till.

    Vänligen notera att detta är ett Debianspecifikt problem.

    Det nya paketet kommer inte att använda osäker åtkomstkontroll för nya databaser, men existerande konfigurationer kommer inte att modifieras automatiskt. Administratörer rekommenderas att kontrollera filen README.Debian som tillhandahålls av det uppdaterade paketet om dom behöver korrigera åtkomstkontrollsregeln.

  • CVE-2015-1545

    Ryan Tandy upptäckte en överbelastningssårbarhet i slapd. När deref overlay används kraschar demonen om den tillhandahålls en tom attributlista i en förfrågan.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.4.31-2.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 2.4.40-4.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.4.40-4.

Vi rekommenderar att ni uppgraderar era openldap-paket.