Bulletin d'alerte Debian

DLA-1428-1 389-ds-base -- Mise à jour de sécurité pour LTS

Date du rapport :
15 juillet 2018
Paquets concernés :
389-ds-base
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-1854, CVE-2017-15134, CVE-2018-1054, CVE-2018-1089, CVE-2018-10850.
Plus de précisions :
  • CVE-2015-1854

    Un défaut a été découvert lors de l’établissement d’autorisation d’opérations de modrdn. Un attaquant authentifié, pouvant présenter un appel ldapmodrdn au serveur d’annuaire, pourrait réaliser des modifications non autorisées d’entrées dans le serveur d’annuaire.

  • CVE-2017-15134

    Un traitement incorrect de filtre de recherche dans slapi_filter_sprintf() dans slapd/util.c, peut conduire à un plantage de serveur distant et un déni de service.

  • CVE-2018-1054

    Lorsque l’accès en lecture pour <attribute_name> est activé, un défaut dans la fonction SetUnicodeStringFromUTF_8 dans collate.c, peut conduire à des opérations en mémoire hors limites. Cela pourrait aboutir à un plantage de serveur, causé par des utilisateurs non autorisés.

  • CVE-2018-1089

    N’importe quel utilisateur (anonyme ou authentifié) peut planter ns-slapd avec une requête ldapsearch contrefaite avec une valeur de filtre très longue.

  • CVE-2018-10850

    Dû à une situation de compétition, le serveur pourrait planter dans le mode turbo (à cause du trafic élevé) ou quand un travailleur (worker) lit plusieurs requêtes dans le tampon de lecture (more_data). Ainsi un attaquant anonyme pourrait déclencher un déni de service.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.3.3.5-4+deb8u1.

Nous vous recommandons de mettre à jour vos paquets 389-ds-base.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.