Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

OpenLDAP : Vulnérabilités de Déni de Service

29/10/2007 14H14
Référence Secunia : SA27424 
Date de publication : 2007-10-29

Risque : Non Critique. Niveau 2 sur 5.
Impact : DoS
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
OpenLDAP 2.3.x


Description :
Quelques vulnérabilités ont été identifiées dans OpenLDAP, qui pourraient être exploitées par des utilisateurs malicieux pour causer un Déni de Service (DoS).

1) Une vulnérabilité est causée du fait que la fonction "add_filter_attrs()" dans servers/slapd/overlay/pcache.c non correctement NULL termine "new_attrs", qui pourrait être exploitée pour planter slapd du fait de an en dehors des limites mémoire access.

L'exploitation de ce problème peut nécessiter que slapd exécute comme proxy-caching server.

2) Une erreur dans le normalisation de "objectClasses" pourrait être exploitée pour planter un serveur vulnérable en envoyant a malformed "objectClasses" attribute.

Les vulnérabilités sont rapportées en versions inférieures à 2.3.39.

Note: Several d'autres bugs, qui pourrait ont a security impact, étaient également rapportées.


Solutions :
Mettre à jour en version 2.3.39.
http://www.openldap.org/software/download/


Vulnérabilité découverte par :

1) Tony Blake
2) Thomas Sesselmann

Référence :
http://www.openldap.org/software/release/changes.html

http://www.openldap.org/its/index.cgi/Software%20Bugs?id=5163
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=440632
http://www.openldap.org/its/index.cgi/Software%20Bugs?id=5119




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.