Debian DLA-203-1:openldap 安全性更新

high Nessus Plugin ID 82861

概要

遠端 Debian 主機缺少一個安全性更新。

說明

在輕量型目錄存取通訊協定的免費實作 OpenLDAP 中發現多個弱點。

請認真檢查您是否受到 CVE-2014-9713 的影響:若受到影響,您必須手動升級組態!請參閱下文瞭解詳情。只升級套件可能還不夠!

CVE-2012-1164

修正執行資料庫 attrsOnly 搜尋且該資料庫同時設有 rwm 和半透明重疊時發生的當機。

CVE-2013-4449

Seven Principles AG 的 Michael Vishchers 在 slapd (目錄伺服器實作) 中發現一個拒絕服務弱點。
當伺服器設為使用 RWM 重疊時,攻擊者可在連接後立即解除繫結而使其損毀,因為參照計數的方式有問題。

CVE-2014-9713

目錄資料庫的預設 Debian 組態允許所有使用者編輯自己的屬性。當 LDAP 目錄用於存取控制且是透過使用者屬性完成時,已驗證的使用者可利用此點來取得未授權資源的存取權。。請注意,此為 Debian 特定的弱點。。
新版套件不會針對新的資料庫使用不安全的存取控制規則,但現有的組態並不會自動修改。如果系統管理員需要修正存取控制規則,在此鼓勵查看更新版套件提供的 README.Debian 檔案。

CVE-2015-1545

Ryan Tandy 在 slapd 中發現一個拒絕服務弱點。使用解除參照重疊時,若在查詢中提供空白的屬性清單,這樣會使程序損毀。

感謝 Ryan Tandy 準備此更新。

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2015/04/msg00016.html

https://packages.debian.org/source/squeeze-lts/openldap

Plugin 詳細資訊

嚴重性: High

ID: 82861

檔案名稱: debian_DLA-203.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2015/4/20

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:ldap-utils, p-cpe:/a:debian:debian_linux:libldap-2.4-2, p-cpe:/a:debian:debian_linux:libldap-2.4-2-dbg, p-cpe:/a:debian:debian_linux:libldap2-dev, p-cpe:/a:debian:debian_linux:slapd, p-cpe:/a:debian:debian_linux:slapd-dbg, p-cpe:/a:debian:debian_linux:slapd-smbk5pwd, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2015/4/18