{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>OpenLDAP versions 2.4.23 et  ant\u00e9rieures.</p>","content":"## Description\n\nDeux vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans OpenLDAP :\n\n-   La premi\u00e8re concerne le composant back-ldap et permet \u00e0 un\n    utilisateur distant de s'authentifier correctement malgr\u00e9 un mot de\n    passe erron\u00e9. Pour \u00eatre exploitable, il est n\u00e9cessaire que les\n    serveurs OpenLDAP ma\u00eetre et esclave soient configur\u00e9s avec l'option\n    ppolicy_forward_updates.\n-   la seconde est relative au composant back-ndb qui, sous certaines\n    conditions, peut autoriser certaines actions sans authentification\n    pr\u00e9alable. Afin de conduire une exploitation l'attaquant doit\n    conna\u00eetre le contenu de la directive rootdn pr\u00e9sente dans le fichier\n    slapd.conf.\n\n## Solution\n\nLa version 2.4.24 corrige ces probl\u00e8mes :\n\n    http://www.openldap.org/software/download\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Site de OpenLDAP :","url":"http://www.openldap.org"}],"reference":"CERTA-2011-AVI-092","revisions":[{"description":"version initiale.","revision_date":"2011-02-16T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans OpenLDAP permettent \u00e0 un\nutilisateur malintentionn\u00e9 distant de contourner la politique de\ns\u00e9curit\u00e9 du syst\u00e8me.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans OpenLDAP","vendor_advisories":[{"published_at":null,"title":"Rapports d'erreurs n\u00b06607 et n\u00b06661 de OpenLDAP","url":"http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6661"}]}