Bulletin d'alerte Debian

DLA-1891-1 openldap -- Mise à jour de sécurité pour LTS

Date du rapport :
19 août 2019
Paquets concernés :
openldap
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 932997, Bogue 932998.
Dans le dictionnaire CVE du Mitre : CVE-2019-13057, CVE-2019-13565.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans openldap, un serveur et des outils pour fournir un service d’annuaire autonome.

  • CVE-2019-13057

    Quand l’administrateur du serveur confie les privilèges rootDN (admin de base de données) pour certaines bases de données mais veut conserver une séparation (par exemple, pour les déploiements « multi-tenant »), slapd ne stoppe pas correctement un rootDN dans la requête d’autorisation sous une identité d’une autre base de données lors d’une liaison SASL ou avec un contrôle proxyAuthz (RFC 4370). (Ce n’est pas une configuration courante de déployer un système où l’administrateur du serveur et l’administrateur DB agréent des niveaux de confiance différents.)

  • CVE-2019-13565

    Lors de l’utilisation du chiffrement d’authentification et de session SASL et de l’appui sur les couches de sécurité dans les contrôles d’accès slapd, il est possible d’obtenir un accès qui serait autrement refusé par une liaison simple pour n’importe quelle identité assurée dans ces ACL. Après que la première liaison SASL soit assurée, la valeur the sasl_ssf est retenue pour toutes les nouvelles connexions non SASL. En fonction de la configuration des ACL, cela peut affecter différents types d’opérations (recherches, modifications, etc.). En d’autres mots, une étape réussie d’authentification accomplie par un utilisateur affecte les exigences d’autorisation d’un autre utilisateur.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.4.40+dfsg-1+deb8u5.

Nous vous recommandons de mettre à jour vos paquets openldap.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.