Risque
- Exécution de code arbitraire à distance
Systèmes affectés
OpenLDAP, versions 2.3.x.
Résumé
Une vulnérabilité dans OpenLDAP permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Description
La fonction modrdn sert à modifier les noms relatifs (RDN ou Relative Distinguished Name). Une erreur dans cette fonction est exploitable par un utilisateur malveillant pour exécuter du code arbitraire à distance sur un serveur vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 1541-1 du 08 avril 2008 : http://lists.debian.org/debian-security-announce/2008/msg00111.html
- Bulletin de sécurité Gentoo GLSA-200803-28 du 19 mars 2008 : http://www.gentoo.org/security/en/glsa/glsa-200803-28.xml
- Bulletin de sécurité Mandriva MDKSA-2008:058 du 05 mars 2008 : http://www.mandriva.com/archives/security/advisories
- Bulletin de sécurité RedHat RHSA-2008:0110-3 du 21 février 2008 : http://rhn.redhat.com/errata/RHSA-2008-0110-3.html
- Bulletin de sécurité Ubuntu USN-584-1 du 05 mars 2008 : http://www.ubuntulinux.org/usn/usn-584-1
- Site de téléchargement du projet OpenLDAP : http://www.openldap.org/its/index.cgi/Software%20Bugs?id=5358
- Référence CVE CVE-2007-5707 https://www.cve.org/CVERecord?id=CVE-2007-5707
- Référence CVE CVE-2007-5708 https://www.cve.org/CVERecord?id=CVE-2007-5708
- Référence CVE CVE-2007-6698 https://www.cve.org/CVERecord?id=CVE-2007-6698
- Référence CVE CVE-2008-0658 https://www.cve.org/CVERecord?id=CVE-2008-0658
