Bulletin d'alerte Debian

DLA-1779-1 389-ds-base -- Mise à jour de sécurité pour LTS

Date du rapport :
6 mai 2019
Paquets concernés :
389-ds-base
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 927939.
Dans le dictionnaire CVE du Mitre : CVE-2019-3883.
Plus de précisions :

Dans 389-ds-base jusqu’à la version 1.4.1.2, les requêtes étaient gérées par des processus légers « worker ». Chaque socket était attendu par le worker pour au plus ioblocktimeout secondes. Cependant, ce délai s’appliquait seulement aux requêtes non chiffrées. Les connexions utilisant SSL/TLS ne tenaient pas compte de ce délai lors de lectures et pouvaient être suspendues plus longtemps. Un attaquant non authentifié pouvait créer de manière répétée des requêtes LDAP en attente pour planter tous les workers, aboutissant un déni de service.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.3.3.5-4+deb8u6.

Nous vous recommandons de mettre à jour vos paquets 389-ds-base.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.