S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 29 mars 2007
N° CERTA-2007-AVI-149
Affaire suivie par: CERT-FR
le 29 mars 2007

Avis du CERT-FR

Objet: Vulnérabilité de LDAP Account Manager

Gestion du document

Référence CERTA-2007-AVI-149
Titre Vulnérabilité de LDAP Account Manager
Date de la première version 29 mars 2007
Date de la dernière version 29 mars 2007
Source(s) Bulletin de mise à jour du projet LDAP Account Manager
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Versions de LDAP Account Manager antérieures à la version 1.3.0.

Résumé

Une vulnérabilité de LDAP Account Manager permet à un utilisateur malveillant d'exécuter un code arbitraire à distance.

Description

LDAP Account Manager est une application PHP qui permet de gérer des comptes d'utilisateur Unix, Kolab, Samba, etc. dans un annuaire LDAP.

Un mauvais filtrage de certains caractères spéciaux HTML dans les données LDAP permet à un utilisateur malveillant de réaliser une insertion de code et l'exécution de ce code par le navigateur de l'utilisateur.

Solution

Installer la version 1.3.0.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 29 mars 2007
    version initiale.