Bulletin d'alerte Debian

DLA-1876-1 gosa -- Mise à jour de sécurité pour LTS

Date du rapport :
11 août 2019
Paquets concernés :
gosa
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-11187.
Plus de précisions :

Dans GOsa², un frontal web LDAP écrit en PHP, une vulnérabilité a été découverte qui pourrait théoriquement conduire à un accès non autorisé à la base de données LDAP gérée avec FusionDirectory. Les vérifications d’état des résultats des requêtes LDAP (« Success ») n’étaient pas assez strictes. La sortie résultante contenant le mot Success dans n’importe quelles données renvoyées durant les essais de connexion renvoyait LDAP success à FusionDirectory et accordait éventuellement un accès non désiré.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2.7.4+reloaded2-1+deb8u4.

Nous vous recommandons de mettre à jour vos paquets gosa.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.