Bulletin d'alerte Debian

DSA-1758-1 nss-ldapd -- Création non sécurisée du fichier de configuration

Date du rapport :
30 mars 2009
Paquets concernés :
nss-ldapd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 520476.
Dans le dictionnaire CVE du Mitre : CVE-2009-1073.
Plus de précisions :

Leigh James a découvert que nss-ldapd, un module NSS pour l'utilisation de LDAP comme service de nommage, crée par défaut le fichier de configuration /etc/nss-ldapd.conf lisible par tous, ce qui pourrait divulguer le mot de passe LDAP configuré s'il est utilisé pour se connecter au serveur LDAP.

L'ancienne distribution stable (Etch) ne contient pas nss-ldapd.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.6.7.1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.6.8.

Nous vous recommandons de mettre à jour votre paquet nss-ldapd.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/n/nss-ldapd/nss-ldapd_0.6.7.1.dsc
http://security.debian.org/pool/updates/main/n/nss-ldapd/nss-ldapd_0.6.7.1.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/n/nss-ldapd/libnss-ldapd_0.6.7.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.