Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

auth_ldap versions 1.6.0 et antérieures.

Résumé

Une vulnérabilité dans le module pour Apache auth_ldap permet à un utilisateur mal intentionné d'éxecuter du code arbitraire à distance.

Description

auth_ldap permet la mise en œuvre dans Apache de l'authentification à partir d'un annuaire LDAP (Lightweight Directory Access). Un manque de contrôle du nom d'utilisateur (username) fourni lors de l'authentification permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'un nom d'utilisateur malicieusement constitué.

Solution

La version 1.6.1 de auth_ldap corrige le problème :

http://www.rudedog.org/auth_ldap/auth_ldap-1.6.1.tar.gz

Documentation