S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 25 janvier 2002
N° CERTA-2002-AVI-013
Affaire suivie par: CERT-FR
le 25 janvier 2002

Avis du CERT-FR

Objet: Vulnérabilité de OpenLDAP

Gestion du document

Référence CERTA-2002-AVI-013
Titre Vulnérabilité de OpenLDAP
Date de la première version 25 janvier 2002
Date de la dernière version 25 janvier 2002
Source(s) Bulletin de sécurité RedHat
Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Modification illicite des droits associés à un objet LDAP.

Systèmes affectés

Tout système avec OpenLDAP de la version 2.0.0 à 2.0.19 installé.

Résumé

Une mauvaise vérification des permissions des utilisateurs permet à l'un d'entre de supprimer des attributs d'un objet LDAP ne lui appartenant pas.

Description

Une mauvaise vérification des ACL (Access Control Lists) sous OpenLDAP permet à un utilisateur authentifié de remplacer les attributs d'un objet LDAP ne lui appartenant pas par une liste d'attributs vide. Il faut cependant savoir que les attributs propres à l'objet ne seront pas supprimés par cette manipulation.

Solution

Installer la version 2.0.21 de OpenLDAP :

ftp://ftp.openladap.org/pub/OpenLDAP/openldap-release/openldap-2.0.21.tgz

Documentation

http://www.redhat.com/supports/errata/RHSA-2002-014.shtml

Gestion détaillée du document

    le 25 janvier 2002
    version initiale.