Scientific Linux 安全性更新：SL4.x i386/x86_64 上的 nss_ldap

medium Nessus Plugin ID 60452

語系：

概要

遠端 Scientific Linux 主機缺少一個安全性更新。

說明

在 nss_ldap 中發現一個爭用情形，其會影響進行 LDAP 連線的某些應用程式 (如 Dovecot)。這可造成 nss_ldap 以不同使用者的資訊回應對某位使用者之資訊的要求。(CVE-2007-5794)

此更新版套件也可修正下列錯誤：

- 在特定情況下，應用程式在 Itanium(R) 架構中，對高度填入的群組 (例如：具有超過 150 個成員) 執行 LDAP 查閱時，該應用程式會損毀或可能造成分割錯誤。因此，此問題可能造成命令 (如「ls」) 傳回「ber_free_buf:
Assertion」錯誤。

- 應用程式列舉 netgroup 成員時，即使 netgroup 不存在，nss_ldap 模組仍會傳回成功的狀態結果和 netgroup 名稱。此行為與其他模組不一致。在此更新版套件中，netgroup 不存在時，nss_ldap 不會再傳回成功狀態。

- 在主機和從屬伺服器環境中，系統設為使用唯讀目錄伺服器時，若使用者的登入嘗試因密碼過期遭拒，而後又立即變更其密碼，則複寫伺服器會傳回 LDAP 轉介，指示 pam_ldap 模組重新發出要求給其他使用者；不過 pam_ldap 模組無法執行此動作。在這些情況下會發生如下錯誤：

LDAP 密碼資訊更新失敗：無法聯絡　LDAP　伺服器項目 [項目]「userPassword」屬性的「寫入」權限不充分

在此更新版套件中，繫結至從屬伺服器時允許變更密碼，進而解決此問題。

- 系統針對命名資訊使用目錄伺服器，且在「/etc/ldap.conf」中設定「nss_initgroups_ignoreusers root」時，dbus-daemon-1 會懸置。執行「service messagebus start」命令後並未啟動服務，也未發生失敗，若未取消命令，其可停止開機處理程序。

因此，此更新版套件將 nss_ldap 升級至隨附於 Scientific Linux 5 的版本。