L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de OpenLDAP : déni de service via ASN.1 BER

Synthèse de la vulnérabilité 

Un attaquant non authentifié peut envoyer un paquet ASN.1 illicite afin de stopper le service.
Systèmes vulnérables : Debian, Fedora, Mandriva Linux, Mandriva NF, NLD, OES, OpenLDAP, openSUSE, RHEL, SLES, TurboLinux.
Gravité de cette menace : 2/4.
Date de création : 01/07/2008.
Références de cette faille : BID-30013, CERTA-2002-AVI-192, CVE-2008-2952, DSA-1650-1, FEDORA-2008-6029, FEDORA-2008-6062, MDVSA-2008:144, RHSA-2008:0583-01, SUSE-SR:2008:021, TLSA-2008-38, VIGILANCE-VUL-7922, ZDI-08-052.

Description de la vulnérabilité 

Le protocole LDAP utilise le format ASN.1 encodé en BER (Basic Encoding Rules).

Si un élément est trop court, une erreur d'assertion se produit dans la fonction ber_get_next() du fichier libraries/liblber/io.c.

Un attaquant non authentifié peut donc envoyer un paquet ASN.1 illicite afin de stopper le service.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de menace concerne les logiciels ou systèmes comme Debian, Fedora, Mandriva Linux, Mandriva NF, NLD, OES, OpenLDAP, openSUSE, RHEL, SLES, TurboLinux.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de faille informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client intranet.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin sécurité.

Solutions pour cette menace 

OpenLDAP : version 2.4.11.
La version 2.4.11 est corrigée :
  http://www.openldap.org/software/download/
  ftp://ftp.openldap.org/pub/OpenLDAP/MIRRORS

OpenLDAP : version 2.3.43.
La version 2.3.43 est corrigée :
  http://www.openldap.org/software/download/
  ftp://ftp.openldap.org/pub/OpenLDAP/MIRRORS

OpenLDAP : patch pour ASN.1 BER.
Un patch est disponible.

Debian : nouveaux paquetages openldap2.3.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/o/openldap2.3/*_2.3.30-5+etch2_*.deb

Fedora : nouveaux paquetages openldap.
De nouveaux paquetages sont disponibles :
  openldap-2.3.39-4.fc8
  openldap-2.4.8-6.fc9

Mandriva : nouveaux paquetages openldap.
De nouveaux paquetages sont disponibles :
 
 Mandriva Linux 2007.1: openldap-2.3.34-5.3mdv2007.1
 Mandriva Linux 2008.0: openldap-2.3.38-3.3mdv2008.0
 Mandriva Linux 2008.1: openldap-2.4.8-2.1mdv2008.1
 Corporate 3.0: openldap-2.1.25-7.4.C30mdk
 Corporate 4.0: openldap-2.3.27-1.5.20060mlcs4
 Multi Network Firewall 2.0: openldap-2.1.25-7.4.C30mdk

RHEL 4, 5 : nouveaux paquetages openldap.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux 4: openldap-2.2.13-8.el4_6.5
Red Hat Enterprise Linux 5: openldap-2.3.27-8.el5_2.4

SUSE : nouveaux paquetages cups, hplip, apache2-mod_php5, openldap2.
De nouveaux paquetages sont disponibles.

Turbolinux : nouveaux paquetages openldap.
De nouveaux paquetages sont disponibles.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une contre-mesure de vulnérabilités informatiques. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.