Risque
- Déni de service à distance
Systèmes affectés
OpenLDAP, versions antérieures à la version 2.3.39.
Résumé
Plusieurs vulnérabilités permettent à un utilisateur malveillant de provoquer un déni de service à distance.
Description
Plusieurs vulnérabilités affectent OpenLDAP :
- la fonction add_filter_attrs() ne gère pas correctement la fin de certaines chaînes de caractères. Ce défaut permet à un utilisateur malveillant de provoquer un déni de service à distance par épuisement de la mémoire ;
- les données entrées par l'utilisateur pour l'attribut objectClasses ne sont pas normalisées de manière assez stricte. Ceci permet à un utilisateur malveillant de provoquer un arrêt inopiné du serveur, à distance.
Solution
La version 2.3.39 corrige ces problèmes. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site de téléchargement du projet OpenLDAP : http://www.openldap.org/software/download/
- Site du projet OpenLDAP : http://www.openldap.org/software/release/changes.html
- Référence CVE CVE-2007-5707 https://www.cve.org/CVERecord?id=CVE-2007-5707
- Référence CVE CVE-2007-5708 https://www.cve.org/CVERecord?id=CVE-2007-5708
