LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3399-1 389-ds-base

Bulletin d'alerte Debian

DLA-3399-1 389-ds-base -- Mise à jour de sécurité pour LTS

Date du rapport :

25 avril 2023

Paquets concernés :

389-ds-base

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-3883, CVE-2019-10224, CVE-2019-14824, CVE-2021-3514, CVE-2021-3652, CVE-2021-4091, CVE-2022-0918, CVE-2022-0996, CVE-2022-2850.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans 389-ds-base, un serveur LDAP au code source ouvert pour Linux.

• CVE-2019-3883

  Les requêtes SSL/TLS n’appliquaient pas la limite ioblocktimeout, conduisant à une vulnérabilité de déni de service (DoS) en suspendant tous les workers avec des suspensions de requête LDAP.

• CVE-2019-10224

  Une vulnérabilité pouvait divulguer des informations sensibles, telles que le mot de passe du Directory Manager, quand les commandes dscreate et dsconf étaient exécutées dans le mode verbose. Un attaquant qui pouvait voir l’écran ou capturer la sortie d’erreur du terminal pouvait exploiter cette vulnérabilité pour obtenir des informations confidentielles.

• CVE-2019-14824

  Le greffon deref de 389-ds-base avait une vulnérabilité qui lui permettait de divulguer des valeurs d’attribut en utilisant les permissions de search. Dans certaines configurations, un attaquant authentifié pouvait exploiter ce défaut pour accéder à des attributs confidentiels, dont les hachages de mot de passe.

• CVE-2021-3514

  Si un client sync_repl était utilisé, un attaquant authentifié pouvait déclencher un plantage en exploitant une requête contrefaite pour l'occasion, aboutissant à un déréférencement de pointeur NULL.

• CVE-2021-3652

  L’importation d’un astérisque comme hachage de mot de passe conduisait à un authentification réussie avec n’importe quel mot de passe, permettant à des attaquants d’accéder aux comptes avec leur mot de passe désactivé.

• CVE-2021-4091

  Une double libération de zone de mémoire a été découverte dans la façon dont 389-ds-base gérait le contexte virtuel d’attribut dans les recherches persistantes. Un attaquant pouvait envoyer une série de requêtes de recherche, forçant le serveur à se comporter de manière inattendue et planter.

• CVE-2022-0918

  Un attaquant authentifié avec accès réseau au port LDAP pouvait provoquer un déni de service. Le déni de service était déclenché par un seul message envoyé à travers une connexion TCP, aucun bind ou autre authentification n’était nécessaire. Le message déclenchait une erreur de segmentation qui aboutissait au plantage de slapd.

• CVE-2022-0996

  Des mots de passe expirés étaient toujours autorisés pour accéder à la base de données. Un utilisateur dont le mot de passe était expiré était toujours autorisé à accéder à la base de données comme si le mot de passe était toujours valable. Une fois que le mot de passe avait expiré et que grace logins était épuisé, le compte était en gros supposé verrouillé et ne devait pas permettre de réaliser toute action nécessitant des privilèges.

• CVE-2022-2850

  Une vulnérabilité dans greffon de synchronisation de contenu permettait à un attaquant authentifié de déclencher un déni de service à l'aide d'une requête contrefaite à travers un déréférencement de pointeur NULL.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1.4.0.21-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets 389-ds-base.

Pour disposer d'un état détaillé sur la sécurité de 389-ds-base, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/389-ds-base.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.