検出

RHEL 5:redhat-ds-base(RHSA-2013:1116)

medium Nessus プラグイン ID 78966

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題といくつかのバグを修正する更新済みの redhat-ds-base パッケージが、Red Hat Directory Server 8.2 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

Red Hat Directory Server は、LDAPv3 準拠サーバーです。基本パッケージには、Lightweight Directory Access Protocol(LDAP)サーバー、およびサーバー管理用のコマンドラインユーティリティが含まれています。

Red Hat Directory Server が検索フィルター式を評価する時に、定義済みの属性アクセスコントロールを遵守しないことが判明しました。リモートの攻撃者(Directory Server に問い合わせる権限を持つ)がこの欠陥を利用して、制限的な属性を使用するフィルター条件付きの一連の検索クエリを介して、制限的な属性値を判断する可能性があります。(CVE-2013-2219)

この問題は、Red Hat の Ludwig Krispenz 氏により発見されました。

この更新は以下のバグも修正します:

* この更新以前は、「unhashed#user#password」属性が無効な名前を持っていたために、スキーマのレプリケーションが失敗しました。
この問題が発生したとき、エラーログにメッセージ「Schema replication update failed:Invalid syntax(スキーマレプリケーション更新が失敗しました:構文が無効です)」が記録されました。この更新により、この属性の名前およびスキーマのレプリケーションが可能にになります。(BZ#970934)

* この更新以前は、着信接続の負荷が高い状態で、競合状態のために、まだ完全には初期化されていない接続のポーリングが開始される可能性があります。これによりクラッシュが発生する可能性があります。この更新により、ポーリングセットの中に入る前に、接続が完全に初期化されます。(BZ# 954051)

* この更新以前は、一部のリクエストされた属性が検索でスキップされる場合(たとえば、ACI のため)、戻される属性名および値がシフトされる可能性があります。この更新により、リクエストされた属性セットから認証されない属性が削除されるため、返される属性/値はシフトされなくなります。(BZ#922773)

* この更新以前は、属性が暗号化するために構成されている場合は、暗号化された方法でそれを保存するためのオンラインインポートが失敗します。この更新により、オンラインインポート中の消費側で暗号化ができるようになります。(BZ#893178)

* この更新以前は、redhat-ds-base パッケージを更新すると、「/etc/dirsrv/slapd-[instance]/certmap.conf」ファイルがデフォルトのテンプレートで上書きされます。この更新により、redhat-ds-base パッケージを更新しても、「/etc/dirsrv/slapd-[instance]/certmap.conf」ファイルが存在している場合、それが上書きされなくなり、ユーザーがカスタム変更を失うことがなくなります。(BZ#919154)

Red Hat Directory Server 8.2 の全ユーザーは、これらの更新済みのパッケージへアップグレードし、これらの問題を修正することが推奨されます。

ソリューション

影響を受ける redhat-ds-base および redhat-ds-base-devel の両方、またはいずれか一方のパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2013:1116

https://access.redhat.com/security/cve/cve-2013-2219

プラグインの詳細

深刻度: Medium

ID: 78966

ファイル名: redhat-RHSA-2013-1116.nasl

バージョン: 1.11

タイプ: local

エージェント: unix

公開日: 2014/11/8

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.7

CVSS v2

リスクファクター: Medium

基本値: 4

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:redhat-ds-base, p-cpe:/a:redhat:enterprise_linux:redhat-ds-base-devel, cpe:/o:redhat:enterprise_linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2013/7/30

参照情報

CVE: CVE-2013-2219

RHSA: 2013:1116