セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2628-1 nss-pam-ldapd

Debian セキュリティ勧告

DSA-2628-1 nss-pam-ldapd -- バッファオーバフロー

報告日時:

2013-06-18

影響を受けるパッケージ:

nss-pam-ldapd

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 690319.
Mitre の CVE 辞書: CVE-2013-0288.

詳細:

Garth Mollett さんが、名前サービスとして LDAP を使用するための NSS および PAM モジュールを提供する nss-pam-ldapd の FD_SET() の使用に関してファイルデスクリプタがオーバーフローする問題を発見しました。 スタックベースのバッファオーバフローにつながる可能性があります。 攻撃者はこの欠陥により、ある状況下で NSS または PAM モジュールをロードしているプロセスのクラッシュを引き起こすことが可能で、 潜在的には任意のコードの実行の可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 0.7.15+squeeze4 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 0.8.10-3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.8.10-3 で修正されています。

直ちに nss-pam-ldapd パッケージをアップグレードすることを勧めます。