Bulletin d'alerte Debian
DLA-1428-1 389-ds-base -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 15 juillet 2018
- Paquets concernés :
- 389-ds-base
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-1854, CVE-2017-15134, CVE-2018-1054, CVE-2018-1089, CVE-2018-10850.
- Plus de précisions :
-
- CVE-2015-1854
Un défaut a été découvert lors de l’établissement d’autorisation d’opérations de modrdn. Un attaquant authentifié, pouvant présenter un appel ldapmodrdn au serveur d’annuaire, pourrait réaliser des modifications non autorisées d’entrées dans le serveur d’annuaire.
- CVE-2017-15134
Un traitement incorrect de filtre de recherche dans slapi_filter_sprintf() dans slapd/util.c, peut conduire à un plantage de serveur distant et un déni de service.
- CVE-2018-1054
Lorsque l’accès en lecture pour <attribute_name> est activé, un défaut dans la fonction SetUnicodeStringFromUTF_8 dans collate.c, peut conduire à des opérations en mémoire hors limites. Cela pourrait aboutir à un plantage de serveur, causé par des utilisateurs non autorisés.
- CVE-2018-1089
N’importe quel utilisateur (anonyme ou authentifié) peut planter ns-slapd avec une requête ldapsearch contrefaite avec une valeur de filtre très longue.
- CVE-2018-10850
Dû à une situation de compétition, le serveur pourrait planter dans le mode turbo (à cause du trafic élevé) ou quand un travailleur (worker) lit plusieurs requêtes dans le tampon de lecture (more_data). Ainsi un attaquant anonyme pourrait déclencher un déni de service.
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 1.3.3.5-4+deb8u1.Nous vous recommandons de mettre à jour vos paquets 389-ds-base.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2015-1854