Oracle Linux 7：389-ds-base（ELSA-2015-0416）

medium Nessus プラグイン ID 81724

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2015:0416 から：

2 つのセキュリティの問題といくつかのバグを修正し、さまざまな拡張機能を追加する更新済み 389-ds-base パッケージが、 Red Hat Enterprise Linux 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

389 Directory Server は、LDAPv3 準拠サーバーです。基本パッケージには、Lightweight Directory Access Protocol（LDAP）サーバー、およびサーバー管理用のコマンドラインユーティリティが含まれています。

389 Directory Server が変更ログに情報を保存する方法で情報漏洩の欠陥が見つかっていて、これにより「cn=changelog」LDAP サブツリーで情報が漏洩します。認証されていないユーザーが、特定の状況でこの欠陥を利用して、変更ログから平文パスワードなどの機密情報を含むデータを読み取る可能性があります。
(CVE-2014-8105)

389 Directory Server の nsslapd-unhashed-pw-switch 構成オプションが「off」に設定されているとき、ハッシュ処理されていないパスワードを変更ログに書き込むことが防止されないことが判明しました。これにより、認証されている変更ログにアクセスできるユーザーが、機密情報を読み取る可能性があります。(CVE-2014-8112)

CVE-2014-8105 の問題が Red Hat の ID 管理エンジニアリングチームの Petr Špaček 氏により発見され、CVE-2014-8112 の問題が Red Hat の ID 管理エンジニアリングチームの Ludwig Krispenz 氏により発見されました。

強化点：

* 新しい WinSync 構成パラメータを追加しています：複数のサブツリー同期用に winSyncSubtreePair、フィルターにより制限されたセットの同期用に winSyncWindowsFilter および winSyncDirectoryFilter。
（BZ# 746646）

* 現在は、変更を有効にする場合に、サーバーを再起動することなく、プラグインを停止、起動または構成できるようになりました。（BZ#994690）

* MODDN および MODRDN の操作に関連するアクセスコントロールが更新され、ソースと宛先のターゲットを同じアクセスコントロール命令で指定できるようになっています。（BZ#1118014）

* レプリカへのバインドでグループ識別名を使用するための nsDS5ReplicaBindDNGroup 属性が追加されています。（BZ#1052754）

* 現在は、WinSync が範囲取得をサポートするようになっています。属性値の MaxValRange の数が属性ごとに数を超えて存在する場合、 WinSync は、範囲取得を使用してすべての属性をディレクトリサーバーに同期します。
（BZ#1044149）

* RFC 4527 読み取りエントリコントロールおよび RFC 4533 コンテンツ同期操作 LDAP 規格のサポートが追加されています。（BZ#1044139、BZ#1044159）

* 参照整合性（referint）プラグインが代替構成エリアを使用できるようになりました。現在は、PlugInArg プラグイン構成が一意の構成属性を使用するようになっています。構成変更で、サーバーを再起動する必要がなくなりました。（BZ#1044203）

* logconv.pl ログ分析ツールが、gzip、bzip2、および xz 圧縮ファイルをサポートするようになり、またこれらのファイルの TAR アーカイブおよび圧縮 TAR アーカイブもサポートされるようになっています。（BZ#1044188）

* ディレクトリマネージャだけが、エンコード済みのパスワードを追加したり、リセット後にユーザーにパスワードを変更するように強制したりすることができました。現在は、passwordAdminDN 属性で定義されたユーザーも、これを実行できるようになっています。（BZ#1118007）

* 「nsslapd-memberofScope」構成パラメーターが MemberOf プラグインに追加されています。 MemberOf を有効にし、範囲を定義すると、MODRDN 操作でグループを範囲の外に移動する動作が失敗していました。現在は、メンバーエントリを範囲の外に移動することにより、memberof 値を正しく削除できるようになっています。
（BZ#1044170）

* alwaysRecordLoginAttr 属性がアカウントポリシープラグイン構成エントリに追加され、これにより、アカウントの活動をチェックするための属性と、ログイン成功時に更新される属性を区別できます。（BZ#1060032）

* 「-s base -b」オプション付きで ldapsearch コマンドを使用するルート DSE 検索では、操作属性の代わりにユーザー属性だけが戻されます。「nsslapd-return-default」オプションが後方互換性のために追加されています。（BZ#1118021）

* MemberOf プラグインの構成はバックエンドデータベースにマッピングされた接尾辞に保存できます。これにより、MemberOf の構成が複製される可能性があります。（BZ#1044205）

* システムで使用可能な NSS ライブラリによりサポートされる範囲からの SSL バージョンについてサポートを追加しています。POODLE の脆弱性のために、NSS がサポートしている場合でも、 SSLv3 がデフォルトで無効にされます。（BZ#1044191）