スタンドアロンのディレクトリサービスを提供するサーバーおよびツールであるopenldapに、いくつかのセキュリティ脆弱性が見つかりました。

CVE-2019-13057

サーバー管理者が特定のデータベースのrootDN（データベース管理者）権限を委任しながら隔離を保持（マルチテナント展開用など）するとき、slapdは、別のデータベースからのrootDNのID認証リクエストをSASLバインドまたはproxyAuthz（RFC 4370）を使って適切に停止しません。
（サーバー管理者とデータベース管理者が異なる信頼レベルを持つシステムを展開するのは一般的な設定ではありません。）

CVE-2019-13565

SASL認証とセッション暗号化を使用し、slapdアクセスコントロールのSASLのセキュリティレイヤーに依存している場合、ACLでカバーされているIDに対する単純なバインドによって拒否されるはずのアクセス権限が取得される可能性があります。最初のSASLバインドが完了すると、sasl_ssfの値は新しい非SASL接続のために保持されます。このACLの設定によっては、これはさまざまな種類のオペレーション（検索、変更など）に影響する可能性があります。つまり、あるユーザーが認証ステップに成功すると、別のユーザーの認証条件に影響があるということです。

Debian 8「Jessie」では、これらの問題はバージョン2.4.40+dfsg-1+deb8u5で修正されました。

お使いのopenldapパッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

DebianDLA-1891-1: openldapのセキュリティ更新プログラム

high Nessus プラグイン ID 127927

バージョン 1.5