Bulletin d'alerte Debian

DLA-1844-1 lemonldap-ng -- Mise à jour de sécurité pour LTS

Date du rapport :
4 juillet 2019
Paquets concernés :
lemonldap-ng
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-13031.
Plus de précisions :

Il existait une vulnérabilité d’entité externe XML dans le système d’authentification unique lemonldap-ng. Cela pouvait conduire à la divulgation de données confidentielles, un déni de service, une contrefaçon de requête côté serveur, le balayage de ports, etc.

  • CVE-2019-13031

    LemonLDAP::NG avant 1.9.20 possédait un problème d’entité externe XML (XXE) lors de la soumission d’une notification au serveur de notifications. Par défaut, le serveur de notifications n’est pas activé et possède une règle « deny all ».

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.3.3-1+deb8u2.

Nous vous recommandons de mettre à jour vos paquets lemonldap-ng.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.