Säkerhetsbulletin från Debian

DSA-1517-1 ldapscripts -- programmeringsfel

Rapporterat den:
2008-03-15
Berörda paket:
ldapscripts
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 445582.
I Mitres CVE-förteckning: CVE-2007-5373.
Ytterligare information:

Don Armstrong upptäckte att ldapscripts, en svit med verktyg för att manipulera användarkonton i LDAP, sänder lösenordet som ett kommandoradsargument när det anropar LDAP-program, vilket kunde göra det möjligt för en lokal angripare att läsa lösenordet från processlistan.

Den gamla stabila utgåvan (Sarge) innehåller inte något ldapscripts-paket.

För den stabila utgåvan (Etch) har detta problem rättats i version 1.4-2etch1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.7.1-2.

Vi rekommenderar att ni uppgraderar ert ldapscripts-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4.orig.tar.gz
http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.diff.gz
http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.