• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2010:0198-04

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2010:0198-04

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
OpenLDAP - это свободно распространяемый набор приложений и инструментов разработки для LDAP (Lightweight Directory Access Protocol).
Ошибка обнаружена в OpenLDAP при обработке символов NUL в поле CommonName сертификатов X.509. Злоумышленник может получить специально сформированный сертификат, подписанный доверенным центром Certificate Authority, который позволит заставить приложения, использующие библиотеки OpenLDAP, принять его как доверенный, что позволит злоумышленнику проводить атаки типа "человек посередине". (CVE-2009-3767)
Данное обновление также исправляет следующие ошибки:
* сценарий инициализации ldap не позволял изменить системные ограничения для демона slapd. Соответствующая переменная доступна в "/etc/sysconfig/ldap". (BZ#527313)
* приложения, использующие библиотеки OpenLDAP для доступа к серверу Microsoft Active Directory, могли вызвать отказ в обслуживании большого количества сетевых интерфейсов. Данное обновление устанавливает ограничения в коде библиотеки OpenLDAP, которые решают данную проблему. (BZ#510522)
* когда slapd настроен так, что позволяет принимать клиентские сертификаты, примерно 90% замораживались из-за большого файла сертификатов CA, и slapd не проверял успешность SSL handshake. (BZ#509230)
* сервер OpenLDAP мог зависнуть по неизвестной причине в случае большой загрузки. Данное обновление устанавливает обработку входящих подключений в новых потоках, что позволяет решить указанную проблему. (BZ#507276)
* библиотеки compat-openldap не включали зависимости от других библиотек, что вызывало отказ в обслуживании приложений. Данное добавляет обнаружение Application Binary Interface (ABI) на 64-битных системах. (BZ#503734)
* библиотеки OpenLDAP вызывали аварийное завершение работы приложений из-за таймаута сетевых операций. Теперь таймаут NULL обрабатывается как -1. (BZ#495701)
* slapd мог вызвать отказ в обслуживании сервера в случае сильной загрузки при использовании rwm overlay, что приводило к блокировке участка памяти во время проведения операции по очистке.
(BZ#495628)
* сценарий инициализации ldap создавал временный сценарий в "/tmp/" и пытался выполнить его. Проблемы возникали, когда "/tmp/" был подключен с опцией noexec. Теперь временный сценарий не создается. (BZ#483356)
* сценарий инициализации ldap всегда запускал slapd с прослушиванием ldap:///, даже если настроить прослушивание ldaps:///. Исправив сценарий инициализации пользователь теперь может выбрать порты, на которых будет слушать slapd. (BZ#481003)
* страница помощи slapd manual page не включала описания опция -V и -o. (BZ#468206)
* slapd.conf содержал закомментированную опцию для загружки модуля syncprov.la. Если ее раскомментировать, то slapd аварийно завершал работу при загрузке, т.к. этот модуль уже был статически связан с OpenLDAP. Данное обновление удаляет "moduleload syncprov.la" из slapd.conf, что позволяет решить указанную проблему. (BZ#466937)
* выходные данные сценария migrate_automount.pl не поддерживались autofs. Для исправления был обновлен формат вывода LDIF для записей automount. (BZ#460331)
* сценарий инициализации ldap использует TERM signal, за которым следует KILL signal, что выключает slapd. Минимальная задержка между этими сигналами приводит к повреждению базы данных LDAP, если данные в ней находятся в процессе сохранения. Задержка между сигналами добавлена с помощью опции "STOP_DELAY" в "/etc/sysconfig/ldap". (BZ#452064)
* сценарий миграции migrate_passwd.pl работал некорректно, когда числовые поля имели только значение 0. Эти поля считались пустыми, из-за этого атрибуты не были устпновлены в выходных данных LDIF. Условия в dump_shadow_attributes были исправлены так, чтобы атрибуты могли содержать 0. (BZ#113857)
* сценарий миграции migrate_base.pl некорректно обрабатывал домены третьего уровня. Проблема решена таким образом: сценарий migrate_base.pl генерирует только один домен. (BZ#104585)
Пользователям OpenLDAP рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0198.html