Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
compat-openldap
(any)
openldap
(any)
openldap-clients
(any)
openldap-devel
(any)
openldap-servers
(any)
openldap-servers-sql
(any)
Описание
OpenLDAP - это свободно распространяемый набор приложений и инструментов разработки для LDAP (Lightweight Directory Access Protocol).
Ошибка, связанная с использованием неинициализированного указателя, обнаружена в демоне slapd при обработке запросов modify relative distinguished name (modrdn). Аутентифицированный пользователь с правами на выполнение операций modrdn может использовать данную уязвимость, чтобы вызвать аварийное завершение работы демона slapd, используя специально сформированные запросы modrdn. (CVE-2010-0211)
Ошибка обнаружена в OpenLDAP при обработке символов NUL в поле CommonName сертификатов X.509. Злоумышленник может получить специально сформированный сертификат, подписанный доверенным центром Certificate Authority, который позволит заставить приложения, использующие библиотеки OpenLDAP, принять его как доверенный, что позволит злоумышленнику проводить атаки типа "человек посередине". (CVE-2009-3767)
Пользователям OpenLDAP рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. После установки обновления демоны OpenLDAP будут перезапущены автоматически.
Ошибка, связанная с использованием неинициализированного указателя, обнаружена в демоне slapd при обработке запросов modify relative distinguished name (modrdn). Аутентифицированный пользователь с правами на выполнение операций modrdn может использовать данную уязвимость, чтобы вызвать аварийное завершение работы демона slapd, используя специально сформированные запросы modrdn. (CVE-2010-0211)
Ошибка обнаружена в OpenLDAP при обработке символов NUL в поле CommonName сертификатов X.509. Злоумышленник может получить специально сформированный сертификат, подписанный доверенным центром Certificate Authority, который позволит заставить приложения, использующие библиотеки OpenLDAP, принять его как доверенный, что позволит злоумышленнику проводить атаки типа "человек посередине". (CVE-2009-3767)
Пользователям OpenLDAP рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. После установки обновления демоны OpenLDAP будут перезапущены автоматически.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0543.html
https://rhn.redhat.com/errata/RHSA-2010-0543.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0543.html
CVE (CVE-2009-3767): https://www.redhat.com/security/data/cve/CVE-2009-3767.html
CVE (CVE-2010-0211): https://www.redhat.com/security/data/cve/CVE-2010-0211.html
BUGZILLA (530715): http://bugzilla.redhat.com/530715
BUGZILLA (605448): http://bugzilla.redhat.com/605448
Источник: CVE
Наименование: CVE-2009-3767
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3767
Источник: CVE
Наименование: CVE-2010-0211
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0211
CVE (CVE-2009-3767): https://www.redhat.com/security/data/cve/CVE-2009-3767.html
CVE (CVE-2010-0211): https://www.redhat.com/security/data/cve/CVE-2010-0211.html
BUGZILLA (530715): http://bugzilla.redhat.com/530715
BUGZILLA (605448): http://bugzilla.redhat.com/605448
Источник: CVE
Наименование: CVE-2009-3767
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3767
Источник: CVE
Наименование: CVE-2010-0211
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0211