Bulletin d'alerte Debian
DSA-2096-1 zope-ldapuserfolder -- Validations des entrées insuffisantes
- Date du rapport :
- 24 août 2010
- Paquets concernés :
- zope-ldapuserfolder
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 593466.
Dans le dictionnaire CVE du Mitre : CVE-2010-2944. - Plus de précisions :
-
Jeremy James a découvert que dans LDAPUserFolder, une extension de Zope utilisée pour l'authentification avec un serveur LDAP, le code d'authentification ne vérifie pas le mot de passe fourni pour l'utilisateur d'urgence. Des utilisateurs malveillants qui parviennent à obtenir l'identifiant de l'utilisateur d'urgence peuvent utiliser ce défaut pour obtenir un accès administratif à l'instance Zope, en fournissant un mot de passe arbitraire.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.9-1+lenny1.
Le paquet n'existe plus dans la prochaine distribution stable (Squeeze) ni dans la distribution unstable.
Nous vous recommandons de mettre à jour votre paquet zope-ldapuserfolder.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.