S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 25 janvier 2002
N° CERTA-2002-AVI-013
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de OpenLDAP

Gestion du document

Référence CERTA-2002-AVI-013
Titre Vulnérabilité de OpenLDAP
Date de la première version25 janvier 2002
Date de la dernière version25 janvier 2002
Source(s) Bulletin de sécurité RedHat
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Modification illicite des droits associés à un objet ldap

Systèmes affectés

Tout système avec OpenLDAP de la version 2.0.0 à 2.0.19 installé.

Résumé

Une mauvaise vérification des permissions des utilisateurs permet à l'un d'entre de supprimer des attributs d'un objet LDAP ne lui appartenant pas.

Description

Une mauvaise vérification des ACL (Access Control Lists) sous OpenLDAP permet à un utilisateur authentifié de remplacer les attributs d'un objet LDAP ne lui appartenant pas par une liste d'attributs vide. Il faut cependant savoir que les attributs propres à l'objet ne seront pas supprimés par cette manipulation.

Solution

Installer la version 2.0.21 de OpenLDAP :

ftp://ftp.openladap.org/pub/OpenLDAP/openldap-release/openldap-2.0.21.tgz

Gestion détaillée du document

    le 25 janvier 2002
    version initiale.