Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2628-1 nss-pam-ldapd

Säkerhetsbulletin från Debian

DSA-2628-1 nss-pam-ldapd -- buffertspill

Rapporterat den:

2013-06-18

Berörda paket:

nss-pam-ldapd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 690319.
I Mitres CVE-förteckning: CVE-2013-0288.

Ytterligare information:

Garth Mollett upptäckte ett buffertspill av fildescriptorer i användningen av FD_SET() i nss-pam-ldapd, som levererar NSS och PAM-moduler för att använda LDAP som en namngivningstjänst, som kan orsaka ett stack-baserat buffertspill. En attackerare kan, under vissa omständighter, använda denna brist för att orsaka en process som har NSS eller PAM-modulen laddad att krascha eller potentiellt exekvera opålitlig kod.

För den stabila utgåvan (squeeze) har detta problem rättats i version 0.7.15+squeeze4.

För uttestningsutgåvan (wheezy) har detta problem rättats i version 0.8.10-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.8.10-3.

Vi rekommenderar att ni uppgraderar era nss-pam-ldapd-paket.