CentOS 6:389-ds-base(CESA-2013:0742)
low Nessus プラグイン ID 65987
Language:
概要
リモート CentOS ホストに1つ以上のセキュリティ更新がありません。説明
1 つのセキュリティの課題といくつかのバグを修正する更新された 389-ds-base パッケージが、現時点で Red Hat Enterprise Linux 6 に対して利用可能です。Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
389 Directory Server は、LDAPv3 準拠サーバーです。基本パッケージには、Lightweight Directory Access Protocol(LDAP)サーバー、およびサーバー管理用のコマンドラインユーティリティが含まれています。
'nsslapd-allow-anonymous-access' 構成設定が 'rootdse' に設定されているときに、 389 Directory Server がエントリの制限を適切に実行しなかったことが発見されました。匿名のユーザーが LDAP データベースに接続し、検索範囲が BASE に設定されている場合に、 rootDSE の外の情報にアクセスすることが可能でした。(CVE-2013-1897)
この問題は、Red Hat の Martin Kosek 氏により発見されました。
この更新は以下のバグも修正します:
* 以前に、スキーマリロードプラグインはスレッドセーフではありませんでした。
結果として、schema-reload.pl スクリプトを重負荷で実行すると、 ns-slapd プロセスがセグメンテーション違反で予期せずに終了する可能性がありました。現在、スキーマリロードプラグインは、スレッドセーフとなるように再度デザインされています。そのため、schema-reload.pl スクリプトが他の LDAP 操作とともに実行できるようになりました。(BZ#929107)
* ローカル変数に範囲外の問題が場合によっては発生し、これにより modrdn の操作がセグメンテーション違反で予期せずに終了しました。この更新では、ローカル変数を関数の適切な場所で宣言し、範囲外にならならず、modrdn の操作がクラッシュしないようにします。(BZ#929111)
* 'replica-force-cleaning' オプションが使用されたときに、構成から削除する正確な値をタスクがマニュアルで構築しました。
結果として、タスク構成がクリーンアップされず、サーバーが再起動されるたびに、タスクは、説明されているような挙動を示しました。この更新は、値をマニュアルで構築せずに、削除する正確な値の構成を検索します。サーバーが再起動されるとき、タスクは再起動されません。(BZ#929114)
* 以前は、存在しないエントリに対して有効な権利を取得しようとすると、 NULL ポインターデリファレンスが起こる可能性がありました。これにより、セグメンテーション違反で予期せずに終了につながることがありました。この更新では、NULL エントリポインターをチェックし、適切なエラーを返すようにします。現時点では、存在しないエントリに対して有効な権利を取得しようとしてもクラッシュは発生せず、サーバーが適切なエラーメッセージを返します。(BZ#929115)
* DNA プラグインのロックタイミングの問題により、DNA の操作が他のプラグインで実行されるとデッドロックが発生しました。この更新は、問題のあるロックのリリースのタイミングを移動し、 DNA プラグインがデッドロックを引き起こさないようにします。(BZ#929196)
389-ds-base の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を修正することが推奨されます。
この更新のインストール後、389 サーバーサービスは自動的に再起動します。
ソリューション
影響を受ける 389-ds-base パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Low
ID: 65987
ファイル名: centos_RHSA-2013-0742.nasl
バージョン: 1.12
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2013/4/17
更新日: 2021/1/4
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.4
CVSS v2
リスクファクター: Low
基本値: 2.6
現状値: 2.3
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2013-1897
脆弱性情報
CPE: p-cpe:/a:centos:centos:389-ds-base, p-cpe:/a:centos:centos:389-ds-base-devel, p-cpe:/a:centos:centos:389-ds-base-libs, cpe:/o:centos:centos:6
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/4/16
脆弱性公開日: 2013/5/13
参照情報
CVE: CVE-2013-1897
BID: 59026
RHSA: 2013:0742