Debian DLA-203-1:openldap セキュリティ更新
high Nessus プラグイン ID 82861
Language:
概要
リモートの Debian ホストにセキュリティ更新がありません。説明
Lightweight Directory Access Protocol の無料の実装である OpenLDAP で、複数の脆弱性が見つかりました。CVE-2014-9713 の影響を受けるかどうかを慎重に確認してください:影響を受ける場合は、構成を手動でアップグレードする必要があります。これに関する詳細については、以下を参照してください。パッケージをアップグレードするだけでは不十分な場合があります。
CVE-2012-1164
rwm および translucent オーバーレイの両方で構成されているデータベースの attrsOnly 検索を行う際のクラッシュを修正します。
CVE-2013-4449
Seven Principles AG の Michael Vishchers 氏は、ディレクトリサーバー実装である slapd で、サービス拒否の脆弱性を発見しました。
サーバーが RWM オーバーレイを使用するように構成された場合、攻撃者が、参照カウントに関する問題により、接続直後にバインド解除を行うことで、サーバーをクラッシュさせる可能性があります。
CVE-2014-9713
ディレクトリデータベースのデフォルトの Debian 構成により、全てのユーザーは自分の属性を編集できます。LDAP ディレクトリがアクセスコントロールに使用され、この動作がユーザー属性を使用して行われる場合、認証されたユーザーが、これを利用して、認証されていないリソースへのアクセス権を取得する可能性があります。。これは Debian 固有の脆弱性ですので注意してください。。
新しいパッケージは、新しいデータベースに対して安全でないアクセスコントロールルールを使用しませんが、既存の構成は自動的に変更されません。アクセスコントロールルールの修正が必要な場合、管理者は、更新済みパッケージによって提供された README.Debian ファイルを参照することが推奨されます。
CVE-2015-1545
Ryan Tandy 氏は、slapd でサービス拒否の脆弱性を発見しました。deref オーバーレイを使用する場合、クエリに空の属性リストを提供すると、デーモンがクラッシュします。
この更新を作成してくれた Ryan Tandy 氏に感謝の意を表します。
注:Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるパッケージをアップグレードしてください。参考資料
https://lists.debian.org/debian-lts-announce/2015/04/msg00016.html
プラグインの詳細
深刻度: High
ID: 82861
ファイル名: debian_DLA-203.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2015/4/20
更新日: 2021/1/11
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:ldap-utils, p-cpe:/a:debian:debian_linux:libldap-2.4-2, p-cpe:/a:debian:debian_linux:libldap-2.4-2-dbg, p-cpe:/a:debian:debian_linux:libldap2-dev, p-cpe:/a:debian:debian_linux:slapd, p-cpe:/a:debian:debian_linux:slapd-dbg, p-cpe:/a:debian:debian_linux:slapd-smbk5pwd, cpe:/o:debian:debian_linux:6.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
パッチ公開日: 2015/4/18