Debian DLA-2425-1: openldap セキュリティ更新

high Nessus プラグイン ID 142199

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

Lightweight Directory Access Protocolの無料の実装であるOpenLDAPで、modrdによる正規化の処理に脆弱性が見つかりました。認証されていないリモートの攻撃者がこの欠陥を利用して、特別に細工されたパケットを介してサービス拒否(slapd デーモンのクラッシュ)を起こすことができます。

Debian 9「Stretch」では、この問題はバージョン2.4.44+dfsg-5+deb9u5で修正されています。

お使いのopenldapパッケージをアップグレードすることを推奨します。

openldapの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/openldap

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージをアップグレードしてください。

参考資料

https://lists.debian.org/debian-lts-announce/2020/11/msg00000.html

https://packages.debian.org/source/stretch/openldap

https://security-tracker.debian.org/tracker/source-package/openldap

プラグインの詳細

深刻度: High

ID: 142199

ファイル名: debian_DLA-2425.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2020/11/2

更新日: 2020/11/2

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:ldap-utils, p-cpe:/a:debian:debian_linux:libldap-2.4-2, p-cpe:/a:debian:debian_linux:libldap-2.4-2-dbg, p-cpe:/a:debian:debian_linux:libldap-common, p-cpe:/a:debian:debian_linux:libldap2-dev, p-cpe:/a:debian:debian_linux:slapd, p-cpe:/a:debian:debian_linux:slapd-dbg, p-cpe:/a:debian:debian_linux:slapd-smbk5pwd, cpe:/o:debian:debian_linux:9.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

パッチ公開日: 2020/11/1

脆弱性公開日: 2020/11/1