Bulletin d'alerte Debian

DLA-1875-1 fusiondirectory -- Mise à jour de sécurité pour LTS

Date du rapport :
11 août 2019
Paquets concernés :
fusiondirectory
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-11187.
Plus de précisions :

Dans FusionDirectory, un frontal web LDAP écrit en PHP (à l’origine dérivé de GOsa² 2.6.x), une vulnérabilité a été découverte qui pourrait théoriquement conduire à un accès non autorisé à la base de données LDAP gérée avec FusionDirectory. Les vérifications d’état des résultats des requêtes LDAP (« Success ») n’étaient pas assez strictes. La sortie résultante contenant le mot Success dans n’importe quelles données renvoyées durant les essais de connexion renvoyait LDAP success à FusionDirectory et accordait éventuellement un accès non désiré.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.0.8.2-5+deb8u2.

Nous vous recommandons de mettre à jour vos paquets fusiondirectory.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.