|
Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com |
From: secure
conectiva.com.brDate: Mon Jan 28 2002 - 08:17:52 CST
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------
PACOTE : openldap
RESUMO :
DATA : 2002-01-28 12:17:00
ANÚNCIO : CLA-2002:459
EDIÇÕES : 6.0, 7.0
- -------------------------------------------------------------------------
DESCRIÇÃO DO PROBLEMA
OpenLDAP[1] é um servidor LDAPv2 e LDAPv3 disponível para diversas
plataformas.
Thomas Fritz reportou[3] uma falha no servidor ldap que poderia ser
usada por atacantes remotos autenticados para apagar atributos de uma
entrada do diretório mesmo que ACLs protegessem esses atributos. Os
atributos só não poderiam ser apagados se o esquema utilizado
exigisse sua presença e a checagem de esquema (schema check)
estivesse ligada.
Usuários autenticados (ou seja, não se aplica para logon anônimo na
versão atual do OpenLDAP disponível no repositório de atualizações)
poderiam pedir uma operação de substituição (REPLACE) de um atributo
onde o valor novo fosse vazio. Isso efetivamente removeria o
atributo, se permitido pelo esquema em uso, ou seja, se o atributo em
questão não fosse obrigatório para aquele tipo de objeto.
O projeto OpenLDAP liberou[2] uma versão nova para corrigir esta
vulnerabilidade. Note que, em versões anteriores à 2.0.8, esta falha
não está restrita a usuários autenticados, podendo ser explorada por
usuários anônimos também. A série 1.2.x não é afetada por este
problema, apenas as versões 2.0.x até a 2.0.19.
SOLUÇÃO
É recomendado que todos os usuários do OpenLDAP versão 2.0.x façam a
atualização. Se o serviço já estiver rodando, a própria atualização
se encarregará de reiniciá-lo.
REFERÊNCIAS
1. http://www.openldap.org
2.
http://www.openldap.org/lists/openldap-announce/200201/msg00002.html
3. http://www.openldap.org/lists/openldap-bugs/200201/msg00049.html
4. http://www.securityfocus.com/bid/3945
PACOTES RPM
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/openldap2-2.0.21-1U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/openldap2-2.0.21-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/openldap2-devel-2.0.21-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/openldap2-tests-2.0.21-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/openldap-2.0.21-1U70_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/openldap-2.0.21-1U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/openldap-client-2.0.21-1U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/openldap-devel-2.0.21-1U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/openldap-devel-static-2.0.21-1U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/openldap-doc-2.0.21-1U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/openldap-server-2.0.21-1U70_2cl.i386.rpm
INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:
rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates
(substitua "versão" pela sua versão. Por exemplo, 7.0)
- execute: apt-get update
- seguido por: apt-get upgrade
Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt
- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.
- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.
- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.
- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE8VV2P42jd0JmAcZARAn6gAJ923wQLPSp65eLm4RwrUGZls0JZUACghKTu
8TKld11hjaf8MTaR1/zngGE=
=olSG
-----END PGP SIGNATURE-----
- Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]