Scientific Linux 安全性更新：SL5.x i386/x86_64 上的 nss_ldap

medium Nessus Plugin ID 60407

語系：

概要

遠端 Scientific Linux 主機缺少一個安全性更新。

說明

在 nss_ldap 中發現一個爭用情形，其會影響進行 LDAP 連線的某些應用程式 (如 Dovecot)。這可造成 nss_ldap 以不同使用者的資訊回應對某位使用者之資訊的要求。(CVE-2007-5794)

此外，這些更新版套件亦可修正下列錯誤：

- 一個版本錯誤，使 nss_ldap 模組無法使用 DNS 探索目錄伺服器的位置。例如，設定 /etc/nsswitch.conf 組態檔使用「ldap」，但卻未在 /etc/ldap.conf 組態檔中設定「host」或「uri」選項時，不會聯絡任何目錄伺服器，也不會傳回任何結果。

- 用戶端電腦上之 /etc/ldap.conf 組態檔中的「port」選項遭到忽略。例如，如果您嘗試使用的目錄伺服器在非預設連接埠 (即非連接埠 389 或 636) 上接聽，則只可藉由將該連接埠號碼納入「uri」選項中，才能使用該目錄伺服器。在此更新版套件中，「port」選項可如預期般運作。

- 如果 pam_ldap 必須遵循轉介才能變更過期的密碼，則無法變更該密碼，例如，在複寫環境中使用從屬目錄伺服器時，便可能發生此情形。輸入新密碼後發生如下錯誤：「LDAP 密碼資訊更新失敗：無法聯絡　LDAP　伺服器；未充分將權限「寫入」'userPassword' 屬性」

這已在此更新版套件中解決。

- 在　/etc/ldap.conf　組態檔中設定「pam_password exop_send_old」密碼變更方法時，pam_ldap 模組中的邏輯錯誤造成用戶端電腦兩次嘗試變更使用者的密碼。首先，pam_ldap 模組嘗試使用「exop」要求變更密碼，然後再次使用 LDAP 修改要求。

- 當 Red Hat Enterprise Linux 5.1　上已安裝　krb5-*-1.6.1-17.el5　套件時，無法重新構建　nss_ldap-253-5.el5，這是因為如下錯誤所導致：

- 「././nss_ldap-253/nss_ldap.so」的　/builddir/build/SOURCES/dlopen.sh ./nss_ldap-253/nss_ldap.so dlopen() 失敗：
./././nss_ldap-253/nss_ldap.so：未定義的符號：
request_key 錯誤：/var/tmp/rpm-tmp.62652 (%build)　的不良結束狀態

已新增遺漏的程式庫，可解決此問題。

以遞迴方式列舉指定群組中的一群成員時，如果群組本身包含其他群組，則此模組配置用於儲存成員名稱的空間會有所不足，因而損毀堆積。此更新包含此錯誤的反向移植修正。