Informations de sécurité / 2021 / Informations sur la sécurité -- DSA-4884-1 ldb

Bulletin d'alerte Debian

DSA-4884-1 ldb -- Mise à jour de sécurité

Date du rapport :

2 avril 2021

Paquets concernés :

ldb

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 985935, Bogue 985936.
Dans le dictionnaire CVE du Mitre : CVE-2020-10730, CVE-2020-27840, CVE-2021-20277.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans ldb, une base de données embarquée similaire à LDAP construite sur TDB.

• CVE-2020-10730

  Andrew Bartlett a découvert un déréférencement de pointeur NULL et un défaut d'utilisation de mémoire après libération lors du traitement des contrôles ASQ et VLV de LDAP en combinaison avec la fonction paged_results de LDAP.

• CVE-2020-27840

  Douglas Bagnall a découvert un défaut de corruption de tas au moyen de chaînes DN contrefaites.

• CVE-2021-20277

  Douglas Bagnall a découvert une vulnérabilité de lecture hors limites dans le traitement des attributs de LDAP qui contiennent plusieurs espaces en début consécutifs.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2:1.5.1+really1.4.6-3+deb10u1.

Nous vous recommandons de mettre à jour vos paquets ldb.

Pour disposer d'un état détaillé sur la sécurité de ldb, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ldb.