L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de OpenLDAP, pam_ldap, nss_ldap : absence de chiffrement TLS

Synthèse de la vulnérabilité 

Dans certains cas, les flux LDAP ne sont pas chiffrés par TLS.
Systèmes vulnérables : Fedora, Mandriva Linux, OpenLDAP, openSUSE, RHEL, Unix (plateforme) ~ non exhaustif.
Gravité de cette menace : 1/4.
Date de création : 04/07/2005.
Dates de révisions : 05/07/2005, 19/07/2005.
Références de cette faille : 161990, 20051003-01-U, 20051003-02-U, 210, BID-14125, BID-14126, CERTA-2005-AVI-245, CVE-2005-2069, FEDORA-2005-1057, MDKSA-2005:121, RHSA-2005:751, RHSA-2005:751-01, RHSA-2005:767, RHSA-2005:767-01, SUSE-SR:2005:020, TLSA-2005-86, TLSA-2005-87, V6-OPENLDAPPASSWDNOTLS, VIGILANCE-VUL-5048.

Description de la vulnérabilité 

Le serveur LDAP peut être configuré pour que ses flux soient chiffrés par SSL/TLS.

Le module pam_ldap peut se connecter sur un serveur LDAP esclave. Si un mot de passe doit être changé, le serveur esclave indique à pam_ldap de se connecter sur le serveur LDAP maître. La première session est correctement chiffrée par SSL, cependant la deuxième session n'emploie pas SSL.

Ainsi, le nouveau mot de passe choisi par l'utilisateur circule en clair sur le réseau. Un attaquant peut l'intercepter.

Le module nss_ldap est aussi vulnérable.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité informatique concerne les logiciels ou systèmes comme Fedora, Mandriva Linux, OpenLDAP, openSUSE, RHEL, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce cybersécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de LAN.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de menace.

Solutions pour cette menace 

OpenLDAP : patch.
Un patch est proposé.

pam_ldap : patch.
Un patch est proposé.

nss_ldap : patch.
Un patch est proposé.

Fedora : nouveaux paquetages openldap.
De nouveaux paquetages sont disponibles :
  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
3c052ebf0ea89f8043745ea1316c8fa7 SRPMS/openldap-2.2.29-1.FC3.src.rpm
e91939937549353f701c67d714aa9e34 x86_64/openldap-2.2.29-1.FC3.x86_64.rpm
87128b39dc854f3512ac7cf01a847af0 x86_64/openldap-devel-2.2.29-1.FC3.x86_64.rpm
ee4b182dba186434091f4ed70e2260f4 x86_64/openldap-servers-2.2.29-1.FC3.x86_64.rpm
75881a0ee92492b68af2985b0a928147 x86_64/openldap-servers-sql-2.2.29-1.FC3.x86_64.rpm
fffd0ade442bd4566709665e2a914fa7 x86_64/openldap-clients-2.2.29-1.FC3.x86_64.rpm
366b07cf11cd4f6cd968bce1699e708d x86_64/compat-openldap-2.2.29_2.1.30-1.FC3.x86_64.rpm
01217650770d476ae54e720b4683cc3a x86_64/debug/openldap-debuginfo-2.2.29-1.FC3.x86_64.rpm
e57eebad07b69b93556c1ba5b3ba7539 x86_64/openldap-2.2.29-1.FC3.i386.rpm
6a6e656bf3726ada3900adea1bc7bde4 x86_64/compat-openldap-2.2.29_2.1.30-1.FC3.i386.rpm
e57eebad07b69b93556c1ba5b3ba7539 i386/openldap-2.2.29-1.FC3.i386.rpm
172c14b7fc249e18dbbd285920451b25 i386/openldap-devel-2.2.29-1.FC3.i386.rpm
9719b4fd54ddc05ae2da61bb5e62729f i386/openldap-servers-2.2.29-1.FC3.i386.rpm
94a352bfc63ca101d46dd0bcec34200c i386/openldap-servers-sql-2.2.29-1.FC3.i386.rpm
e971c26a61481f3bd09807a467007adf i386/openldap-clients-2.2.29-1.FC3.i386.rpm
6a6e656bf3726ada3900adea1bc7bde4 i386/compat-openldap-2.2.29_2.1.30-1.FC3.i386.rpm
b0bf94f4c283995805ff37991131d073 i386/debug/openldap-debuginfo-2.2.29-1.FC3.i386.rpm

Mandrake : nouveaux paquetages nss_ldap et pam_ldap.
De nouveaux paquetages sont disponibles :
 Mandrakelinux 10.0:
 914dcae90f53c038cfc011abe891ab4d 10.0/RPMS/nss_ldap-212-4.1.100mdk.i586.rpm
 072543f7406517e0515d35d39e5f5f40 10.0/RPMS/pam_ldap-167-4.1.100mdk.i586.rpm
 541c2b177143c43b743b8d3fe5509ea9 10.0/SRPMS/nss_ldap-212-4.1.100mdk.src.rpm
 Mandrakelinux 10.0/AMD64:
 5235319856a96b9a1ef18a2913f6adcf amd64/10.0/RPMS/nss_ldap-212-4.1.100mdk.amd64.rpm
 20aa9281762673b4ff2a79e4c108faf8 amd64/10.0/RPMS/pam_ldap-167-4.1.100mdk.amd64.rpm
 541c2b177143c43b743b8d3fe5509ea9 amd64/10.0/SRPMS/nss_ldap-212-4.1.100mdk.src.rpm
 Mandrakelinux 10.1:
 b0e26a28478136804d4aeb39d44c8d82 10.1/RPMS/nss_ldap-220-3.1.101mdk.i586.rpm
 700a3f02f035626e93fe9de327df9d52 10.1/RPMS/pam_ldap-170-3.1.101mdk.i586.rpm
 0292807cd0a28d55ca8e59489761bf25 10.1/SRPMS/nss_ldap-220-3.1.101mdk.src.rpm
 Mandrakelinux 10.1/X86_64:
 707a0491faf0022727255c56dc14c508 x86_64/10.1/RPMS/nss_ldap-220-3.1.101mdk.x86_64.rpm
 066cfd679a2d6ccb8f2f04cc223c8cb9 x86_64/10.1/RPMS/pam_ldap-170-3.1.101mdk.x86_64.rpm
 0292807cd0a28d55ca8e59489761bf25 x86_64/10.1/SRPMS/nss_ldap-220-3.1.101mdk.src.rpm
 Mandrakelinux 10.2:
 e51a248257f108f311a774d58f6c04fc 10.2/RPMS/nss_ldap-220-5.2.102mdk.i586.rpm
 f8716c332eaa6a29013dc9e69c164f3d 10.2/RPMS/pam_ldap-170-5.2.102mdk.i586.rpm
 9e638e127e5a8107ee23c0c1c9f76fd1 10.2/SRPMS/nss_ldap-220-5.2.102mdk.src.rpm
 Mandrakelinux 10.2/X86_64:
 a00d92227ecbd7ce25bd144c4a9d4ffe x86_64/10.2/RPMS/nss_ldap-220-5.2.102mdk.x86_64.rpm
 87b5b7aac3a835d6e90d2ea916f0e530 x86_64/10.2/RPMS/pam_ldap-170-5.2.102mdk.x86_64.rpm
 9e638e127e5a8107ee23c0c1c9f76fd1 x86_64/10.2/SRPMS/nss_ldap-220-5.2.102mdk.src.rpm

RHEL 2.1 et 3 : nouveaux paquetages openldap et nss_ldap.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 2.1:
  nss_ldap-189-13
  openldap-2.0.27-4.9
Red Hat Enterprise Linux version 3:
  nss_ldap-207-17
  openldap-2.0.27-20

RHEL 4 : nouveaux paquetages openldap et nss_ldap.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4:
  nss_ldap-226-10
  openldap-2.2.13-4

SGI ProPack 3 : nouveaux paquetages openldap, nss_ldap, lynx, xloadimage, util-linux, mount, ruby, openssl.
Le patch 10235 est disponible :
  http://support.sgi.com/
Des RPMS individuels sont aussi proposés :
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS

SUSE : nouveaux paquetages kismet, openvpn, gaim, ldap et kaudiocreator.
De nouveaux paquetages sont disponibles par FTP ou YaST.

Turbolinux : nouveaux paquetages nss_ldap.
De nouveaux paquetages sont disponibles :
 <Turbolinux 10 Server>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/SRPMS/nss_ldap-209-2.src.rpm
       226968 c85c3be40324b73654a0ed2eb3d7533c
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/RPMS/nss_ldap-209-2.i586.rpm
        77229 e1f5ffc41a49b077adeb9bc2b3b72a34
 <Turbolinux 10 Desktop, Turbolinux 10 F..., Turbolinux Home, Turbolinux Multimedia, Turbolinux Personal>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/SRPMS/nss_ldap-209-2.src.rpm
       226968 4e4213a6741b85eb547d524956cad20c
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/RPMS/nss_ldap-209-2.i586.rpm
        77071 06287205b2d06c7551c56e91ef4748d2
 <Turbolinux 8 Server>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/SRPMS/nss_ldap-202-3.src.rpm
       199582 fc26c54ff2558cd93532bf2c59b653d2
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/nss_ldap-202-3.i586.rpm
        79356 56bc1beb223b5d7b1bae6d26ad0d92fe
 <Turbolinux 8 Workstation>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/SRPMS/nss_ldap-202-3.src.rpm
       199582 582b891468b11143d1cc9e4c95e5d81e
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/RPMS/nss_ldap-202-3.i586.rpm
        79366 1375db1b32581d21850d3f3970b67e14
 <Turbolinux 7 Server>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/SRPMS/nss_ldap-202-3.src.rpm
       199582 59ed7aa5913cf47bd810b8e8adc308f2
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS/nss_ldap-202-3.i586.rpm
        78955 3a4d36320552b164880999760532d197
 <Turbolinux 7 Workstation>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/SRPMS/nss_ldap-202-3.src.rpm
       199582 614d011a344583f6f1c9d20ea4b5eb01
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/RPMS/nss_ldap-202-3.i586.rpm
        79024 f9e45874b4b02185bd362bece4ecec54

Turbolinux : nouveaux paquetages pam_ldap.
De nouveaux paquetages sont disponibles :
 <Turbolinux Appliance Server 1.0 Hosting Edition>
   pam_ldap-148-3.src.rpm
       112233 abefe3aa030974e314fc2a5964aea280
   pam_ldap-148-3.i586.rpm
        70375 27c29cf18c9664a09155a7d1ad1c961b
 <Turbolinux Appliance Server 1.0 Workgroup Edition>
   pam_ldap-148-3.src.rpm
       112233 3c252cd236b65afa3d2c0a9a8cc669a2
   pam_ldap-148-3.i586.rpm
        70583 4615d1d3d8a3b6b84efd0947961d27a3
 <Turbolinux 10 Server>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/SRPMS/pam_ldap-164-2.src.rpm
       126714 4efdce26c7e639b49e0287da1ff3037c
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/RPMS/pam_ldap-164-2.i586.rpm
        46618 bd81fd78bd2305e26a71efd1123feaed
 <Turbolinux 10 Desktop, Turbolinux 10 F..., Turbolinux Home, Turbolinux Multimedia, Turbolinux Personal>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/SRPMS/pam_ldap-164-2.src.rpm
       126714 5409b321eceb3612e881b0eafc4851f9
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Desktop/10/updates/RPMS/pam_ldap-164-2.i586.rpm
        46766 a3c4b3bbab2d7290d2bc261f9c0698c4
 <Turbolinux 8 Server>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/SRPMS/pam_ldap-148-3.src.rpm
       112233 b14f45cf7f7984508e8701e421e9cddc
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/pam_ldap-148-3.i586.rpm
        70546 7b5f75094e2fe3a23eb6f3adf9360e3e
 <Turbolinux 8 Workstation>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/SRPMS/pam_ldap-148-3.src.rpm
       112233 bc22f3981e361c678c94d8a1a7267265
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/RPMS/pam_ldap-148-3.i586.rpm
        70479 13ff9d979ce83fbb5e184fdd47c82f19
 <Turbolinux 7 Server>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/SRPMS/pam_ldap-148-3.src.rpm
       112233 a0bf03f447c276c1f97b86b866481d05
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS/pam_ldap-148-3.i586.rpm
        68845 9090da288e7065668fc2a80c20ee0cb4
 <Turbolinux 7 Workstation>
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/SRPMS/pam_ldap-148-3.src.rpm
       112233 b228193e8a1fc9d7f634e9b126b8211c
   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/7/updates/RPMS/pam_ldap-148-3.i586.rpm
        68821 9173b4b8d339f6e8bf052de1b9e105a0
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des avis de vulnérabilité de système. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.