Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Élévation de privilèges
Systèmes affectés
OpenLDAP 2.3.25 ainsi que les versions antérieures.
Description
Des vulnérabilités ont été identifiées dans l'application OpenLDAP quimet en œuvre le protocole LDAP (Lightweight Directory Access Protocol). Ce protocole sert à gérer des annuaires de bases d'informations sur le réseau, comme par exemple des coordonnées de personnes.
Suivant ce protocole, le DN (pour Distinguished Name) représente le nom d'une entrée sous la forme du chemin d'accès à celle-ci, depuis le sommet d'un arbre relationnel (un peu comme un chemin ou path sous Unix).
L'une des vulnérabilités permettrait à un utilisateur malveillant, ayant un accès selfwrite sur un attribut, de lui ajouter ou de supprimer non pas son DN, mais un DN quelconque.
Solution
Se référer à la mise à jour du projet OpenLDAP pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Mise à jour 2.3.27 du 19 août 2006 du projet OpenLDAP : http://http://www.openldap.org/software/download/
- Site du projet OpenLDAP : http://www.openldap.org