Рекомендация Debian по безопасности

DSA-4884-1 ldb -- обновление безопасности

Дата сообщения:
02.04.2021
Затронутые пакеты:
ldb
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 985935, Ошибка 985936.
В каталоге Mitre CVE: CVE-2020-10730, CVE-2020-27840, CVE-2021-20277.
Более подробная информация:

В ldb, LDAP-подобной встраиваемой базе данных, надстроенной над TDB, были обнаружены многочисленные уязвимости.

  • CVE-2020-10730

    Эндрю Бартлет обнаружил разыменование NULL-указателя и использование указателей после освобождения памяти в коде обработки управляющих элементов LDAP ASQ и VLV и их комбинаций с paged_results.

  • CVE-2020-27840

    Дуглас Багнал обнаружил повреждение содержимого динамической памяти с помощью специально сформированных DN-строк.

  • CVE-2021-20277

    Дуглас Багнал обнаружил чтение за пределами выделенного буфера памяти в коде обработки атрибутов LDAP, содержащих последовательности из нескольких пробельны символов в начале значения атрибута.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2:1.5.1+really1.4.6-3+deb10u1.

Рекомендуется обновить пакеты ldb.

С подробным статусом поддержки безопасности ldb можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/ldb