389-ds-base-1.3.6.1-28.el7

エラータID: AXSA:2018-2594:02

リリース日: 
2018/03/08 Thursday - 10:37
題名: 
389-ds-base-1.3.6.1-28.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- 389-ds-base には,LDAP サーチフィルタの処理の方法にスタックバッファ
オーバーフローが存在し,巧妙に細工された LDAP のリクエストによって,
リモートの認証されない攻撃者がこの問題を用いて ns-slapd をクラッシュさせ,
サービス拒否を引き起こす可能性のある脆弱性があります。(CVE-2017-15134)

- 389-ds-base には,LDAP サーチフィルタの処理方法に境界外からのメモ
リ読み込みの問題が存在し,巧妙に細工された LDAP リクエストによって,
リモートの認証されない攻撃者がこの脆弱性を用いて ns-slapd をクラッ
シュさせ,サービス拒否を引き起こす可能性のある脆弱性があります。
(CVE-2018-1054)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2017-15135
It was found that 389-ds-base since 1.3.6.1 up to and including 1.4.0.3 did not always handle internal hash comparison operations correctly during the authentication process. A remote, unauthenticated attacker could potentially use this flaw to bypass the authentication process under very rare and specific circumstances.
CVE-2018-1054
An out-of-bounds memory read flaw was found in the way 389-ds-base handled certain LDAP search filters, affecting all versions including 1.4.x. A remote, unauthenticated attacker could potentially use this flaw to make ns-slapd crash via a specially crafted LDAP request, thus resulting in denial of service.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. 389-ds-base-1.3.6.1-28.el7.src.rpm
    MD5: 610c411bb1e3920c2b1210909d800f34
    SHA-256: 73a1195913bdc9d59c96f5c90ec5fc232ff96661a48707778bed068e3f090b72
    Size: 3.64 MB

Asianux Server 7 for x86_64
  1. 389-ds-base-1.3.6.1-28.el7.x86_64.rpm
    MD5: af8e01cff39959b7b9ae237999543d8f
    SHA-256: 4f516224daab58537883d9533e6fd0a1aebf7d43c9b404593b31f81e19982384
    Size: 1.70 MB
  2. 389-ds-base-libs-1.3.6.1-28.el7.x86_64.rpm
    MD5: d6476b82a72c041c49f30a68be3305cb
    SHA-256: f7c21bc24faea573b67f4a5d59a5248cca20462601310b8917ac4b32fa8d1870
    Size: 680.77 kB