| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier. |
|
 |
|
|
Synthèse de la vulnérabilité 
Un attaquant non authentifié peut envoyer un paquet ASN.1 illicite afin de stopper le service.
 Systèmes vulnérables : Debian, Fedora, Mandriva Linux, Mandriva NF, NLD, OES, OpenLDAP, openSUSE, RHEL, SLES, TurboLinux.
Gravité de cette menace : 2/4.
Date de création : 01/07/2008.
Références de cette faille : BID-30013, CERTA-2002-AVI-192, CVE-2008-2952, DSA-1650-1, FEDORA-2008-6029, FEDORA-2008-6062, MDVSA-2008:144, RHSA-2008:0583-01, SUSE-SR:2008:021, TLSA-2008-38, VIGILANCE-VUL-7922, ZDI-08-052.
Description de la vulnérabilité 
Le protocole LDAP utilise le format ASN.1 encodé en BER (Basic Encoding Rules).
Si un élément est trop court, une erreur d'assertion se produit dans la fonction ber_get_next() du fichier libraries/liblber/io.c.
Un attaquant non authentifié peut donc envoyer un paquet ASN.1 illicite afin de stopper le service.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)
Ce bulletin de menace concerne les logiciels ou systèmes comme Debian, Fedora, Mandriva Linux, Mandriva NF, NLD, OES, OpenLDAP, openSUSE, RHEL, SLES, TurboLinux.
Notre équipe Vigil@nce a déterminé que la gravité de cet avis de faille informatique est moyen.
Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client intranet.
Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin sécurité.
Solutions pour cette menace 
OpenLDAP : version 2.4.11.
La version 2.4.11 est corrigée :
http://www.openldap.org/software/download/
ftp://ftp.openldap.org/pub/OpenLDAP/MIRRORS
OpenLDAP : version 2.3.43.
La version 2.3.43 est corrigée :
http://www.openldap.org/software/download/
ftp://ftp.openldap.org/pub/OpenLDAP/MIRRORS
OpenLDAP : patch pour ASN.1 BER.
Un patch est disponible.
Debian : nouveaux paquetages openldap2.3.
De nouveaux paquetages sont disponibles :
http://security.debian.org/pool/updates/main/o/openldap2.3/*_2.3.30-5+etch2_*.deb
Fedora : nouveaux paquetages openldap.
De nouveaux paquetages sont disponibles :
openldap-2.3.39-4.fc8
openldap-2.4.8-6.fc9
Mandriva : nouveaux paquetages openldap.
De nouveaux paquetages sont disponibles :
Mandriva Linux 2007.1: openldap-2.3.34-5.3mdv2007.1
Mandriva Linux 2008.0: openldap-2.3.38-3.3mdv2008.0
Mandriva Linux 2008.1: openldap-2.4.8-2.1mdv2008.1
Corporate 3.0: openldap-2.1.25-7.4.C30mdk
Corporate 4.0: openldap-2.3.27-1.5.20060mlcs4
Multi Network Firewall 2.0: openldap-2.1.25-7.4.C30mdk
RHEL 4, 5 : nouveaux paquetages openldap.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux 4: openldap-2.2.13-8.el4_6.5
Red Hat Enterprise Linux 5: openldap-2.3.27-8.el5_2.4
SUSE : nouveaux paquetages cups, hplip, apache2-mod_php5, openldap2.
De nouveaux paquetages sont disponibles.
Turbolinux : nouveaux paquetages openldap.
De nouveaux paquetages sont disponibles.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)
Service de veille sur les vulnérabilités informatiques 
Vigil@nce fournit une contre-mesure de vulnérabilités informatiques. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
|