Bulletin d'alerte Debian
DLA-1844-1 lemonldap-ng -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 4 juillet 2019
- Paquets concernés :
- lemonldap-ng
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2019-13031.
- Plus de précisions :
-
Il existait une vulnérabilité d’entité externe XML dans le système d’authentification unique lemonldap-ng. Cela pouvait conduire à la divulgation de données confidentielles, un déni de service, une contrefaçon de requête côté serveur, le balayage de ports, etc.
- CVE-2019-13031
LemonLDAP::NG avant 1.9.20 possédait un problème d’entité externe XML (XXE) lors de la soumission d’une notification au serveur de notifications. Par défaut, le serveur de notifications n’est pas activé et possède une règle « deny all ».
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 1.3.3-1+deb8u2.Nous vous recommandons de mettre à jour vos paquets lemonldap-ng.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2019-13031