Säkerhetsbulletin från Debian
DSA-1517-1 ldapscripts -- programmeringsfel
- Rapporterat den:
- 2008-03-15
- Berörda paket:
- ldapscripts
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 445582.
I Mitres CVE-förteckning: CVE-2007-5373. - Ytterligare information:
-
Don Armstrong upptäckte att ldapscripts, en svit med verktyg för att manipulera användarkonton i LDAP, sänder lösenordet som ett kommandoradsargument när det anropar LDAP-program, vilket kunde göra det möjligt för en lokal angripare att läsa lösenordet från processlistan.
Den gamla stabila utgåvan (Sarge) innehåller inte något ldapscripts-paket.
För den stabila utgåvan (Etch) har detta problem rättats i version 1.4-2etch1.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.7.1-2.
Vi rekommenderar att ni uppgraderar ert ldapscripts-paket.
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.diff.gz
- http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.dsc
- http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.