CERTA : Vulnérabilités dans OpenLDAP
octobre 2007 par CERT-FR
1 Risque
Déni de service à distance.
2 Systèmes affectés
OpenLDAP, versions antérieures à la version 2.3.39.
3 Résumé
Plusieurs vulnérabilités permettent à un utilisateur malveillant de provoquer
un déni de service à distance.
4 Description
Plusieurs vulnérabilités affectent OpenLDAP :
* la fonction add_filter_attrs() ne gère pas correctement la fin de certaines
chaînes de caractères. Ce défaut permet à un utilisateur malveillant de
provoquer un déni de service à distance par épuisement de la mémoire ;
* les données entrées par l’utilisateur pour l’attribut objectClasses ne sont
pas normalisées de manière assez stricte. Ceci permet à un utilisateur
malveillant de provoquer un arrêt inopiné du serveur, à distance.
5 Solution
La version 2.3.39 corrige ces problèmes. Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).
6 Documentation
* Site du projet OpenLDAP :
http://www.openldap.org/software/release/changes.html
* Site de téléchargement du projet OpenLDAP :