Oracle Linux 4：nss_ldap（ELSA-2006-0719）

high Nessus プラグイン ID 67415

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2006:0719 から：

セキュリティの欠陥を修正する更新済みの nss_ldap パッケージが、Red Hat Enterprise Linux 4 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

nss_ldap は、一連の C ライブラリ拡張です。この拡張により、X.500 および LDAP ディレクトリサーバーがエイリアス、イーサーネット、グループ、ホスト、ネットワーク、プロトコル、ユーザー、RPC、サービス、シャドウパスワードのプライマリソースとして使用できるようになります。

nss_ldap が LDAP サーバーによって送信される PasswordPolicyResponse コントロールを処理する方法で欠陥が見つかりました。LDAP サーバーが PasswordPolicyResponse コントロールを持つ認証リクエストに応答すると、nss_ldap を使用するアプリケーションが特定のユーザーを不適切に認証する可能性がありました。(CVE-2006-5170)

この欠陥は、nss_ldap エラーメッセージを適切に処理していないアプリケーション内でのみ悪用可能でした。xscreensaver のみが、この動作を禁止していることが現在知られています。

nss_ldap の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、この問題を解決する必要があります。