Search criteria
4 vulnerabilities found for N/A by OpenLDAP
CERTFR-2022-AVI-463
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans OpenLDAP. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
None| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "OpenLDAP versions 2.x ant\u00e9rieures \u00e0 2.5.12",
"product": {
"name": "N/A",
"vendor": {
"name": "OpenLDAP",
"scada": false
}
}
},
{
"description": "OpenLDAP versions 2.6.x ant\u00e9rieures \u00e0 2.6.2",
"product": {
"name": "N/A",
"vendor": {
"name": "OpenLDAP",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-29155",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-29155"
}
],
"links": [],
"reference": "CERTFR-2022-AVI-463",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-05-13T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans OpenLDAP. Elle permet \u00e0 un\nattaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans OpenLDAP",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 OpenLDAP 9815 du 05 mai 2022",
"url": "https://bugs.openldap.org/show_bug.cgi?id=9815"
}
]
}
CERTA-2012-AVI-147
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été corrigée dans OpenLDAP, qui permet de réaliser un déni de service à distance.
Description
Une vulnérabilité a été corrigée dans OpenLDAP. Elle peut être exploitée dans certaines conditions par un attaquant distant à l'aide d'une requête de recherche spécialement conçue.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "OpenLDAP versions ant\u00e9rieures \u00e0 2.4.30.",
"product": {
"name": "N/A",
"vendor": {
"name": "OpenLDAP",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e dans OpenLDAP. Elle peut \u00eatre exploit\u00e9e\ndans certaines conditions par un attaquant distant \u00e0 l\u0027aide d\u0027une\nrequ\u00eate de recherche sp\u00e9cialement con\u00e7ue.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2012-1164",
"url": "https://www.cve.org/CVERecord?id=CVE-2012-1164"
}
],
"links": [],
"reference": "CERTA-2012-AVI-147",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2012-03-16T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e dans OpenLDAP, qui permet de r\u00e9aliser\nun d\u00e9ni de service \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans OpenLDAP",
"vendor_advisories": [
{
"published_at": "2012-03-16",
"title": "Correction de bug OpenLDAP 7143",
"url": "http://www.openldap.org/its/index.cgi/SoftwareBugs?id=7143"
}
]
}
CERTA-2005-AVI-245
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité dans OpenLDAP, nss_ldap et pam_ldap permet à un utilisateur local mal intentionné de porter atteinte à la confidentialité des données.
Description
OpenLDAP est un logiciel mettant en œuvre le protocole LDAP (Lightweight Directory Access). nss_ldap est un service de nommage NSS (Name Service Switch) s'interfaçant avec un annuaire LDAP. pam_ldap est un module d'authentification PAM (Pluggable Layer Security) s'interfaçant avec un annuaire LDAP. Une erreur dans la façon dont un serveur LDAP esclave redirige un client vers un serveur maître lors d'une connexion utilisant TLS (Transport Layer Security) permet à un utilisateur mal intentionné connecté au réseau local d'intercepter des informations de type identifiant et mot de passe.
Contournement provisoire
Configurer les serveurs LDAP pour qu'ils n'acceptent que des connexions en LDAPS et configurer les clients pour qu'ils utilisent des liens de type : ldaps://.
None| Title | Publication Time | Tags | |
|---|---|---|---|
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "OpenLDAP versions 2.2.26 et ant\u00e9rieures ;",
"product": {
"name": "N/A",
"vendor": {
"name": "OpenLDAP",
"scada": false
}
}
},
{
"description": "nss_ldap versions 2.239 et ant\u00e9rieures ;",
"product": {
"name": "N/A",
"vendor": {
"name": "OpenLDAP",
"scada": false
}
}
},
{
"description": "pam_ldap versions 1.76 et ant\u00e9rieures.",
"product": {
"name": "N/A",
"vendor": {
"name": "OpenLDAP",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nOpenLDAP est un logiciel mettant en \u0153uvre le protocole LDAP (Lightweight\nDirectory Access). nss_ldap est un service de nommage NSS (Name Service\nSwitch) s\u0027interfa\u00e7ant avec un annuaire LDAP. pam_ldap est un module\nd\u0027authentification PAM (Pluggable Layer Security) s\u0027interfa\u00e7ant avec un\nannuaire LDAP. Une erreur dans la fa\u00e7on dont un serveur LDAP esclave\nredirige un client vers un serveur ma\u00eetre lors d\u0027une connexion utilisant\nTLS (Transport Layer Security) permet \u00e0 un utilisateur mal intentionn\u00e9\nconnect\u00e9 au r\u00e9seau local d\u0027intercepter des informations de type\nidentifiant et mot de passe.\n\n## Contournement provisoire\n\nConfigurer les serveurs LDAP pour qu\u0027ils n\u0027acceptent que des connexions\nen LDAPS et configurer les clients pour qu\u0027ils utilisent des liens de\ntype : ldaps://.\n",
"cves": [],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200507-13 du 14 juillet 2005 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200507-13.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:121 du 18 juillet 2005 :",
"url": "http://www.mandriva.com/security/advisories?name=MDKSA-2005:121"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 OpenLDAP du 21 juin 2005 :",
"url": "http://www.openldap.org/its/index.cgi/Incoming?id=3791"
}
],
"reference": "CERTA-2005-AVI-245",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2005-07-06T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo 200507-13, correction de la r\u00e9f\u00e9rence CVE.",
"revision_date": "2005-07-15T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:121.",
"revision_date": "2005-07-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans OpenLDAP, nss_ldap et pam_ldap permet \u00e0 un\nutilisateur local mal intentionn\u00e9 de porter atteinte \u00e0 la\nconfidentialit\u00e9 des donn\u00e9es.\n",
"title": "Vuln\u00e9rabilit\u00e9s dans OpenLDAP, nss_ldap et pam_ldap",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 de OpenLDAP du 21 juin 2005",
"url": null
}
]
}
CERTA-2001-AVI-157
Vulnerability from certfr_avis - Published: - Updated:
De nombreuses implémentations du protocole LDAP (Lightweight Directory Access Protocol) contiennent des vulnérabilités permettant à un utilisateur mal intentionné d'exécuter du code arbitraire, d'élever ses privilèges, ou de provoquer des dénis de service.
Description
4.1 Netscape / iPlanet Directory Server
Le code chargé de traiter les requêtes LDAP présente des vulnérabilités permettant à un utilisateur mal intentionné d'exécuter du code arbitraire avec les droits du Directory Server qui sont en général ceux de l'administrateur root.
Ces vulnérabiltés sont exploitables à distance.
4.2 IBM SecureWay Directory
Des vulnérabilités permettent à un utilisateur mal intentionné de provoquer un déni de service sur le serveur. Il est possible que ces vulnérabilités permettent en plus d'exécuter du code arbitraire.
Ces vulnérabilités sont présentes sous Solaris et Windows 2000, et sont exploitables à distance, mais les plates-formes Windows NT et AIX ne sont pas vulnérables.
4.3 Lotus Domino R5 Server
Des vulnérabilités permettent à un utilisateur distant d'exécuter du code arbitraire avec les privilèges du server Domino qui sont en général ceux de l'administrateur root.
4.4 Microsoft Exchange
Une vulnérabilité dans le traitement des requêtes LDAP rend les serveurs LDAP de Microsoft Exchange 5.5 vulnérables à un déni de service.
Cette vulnérabilité est exploitable à distance.
4.5 Oracle Internet Directory
De multiples vulnérabilités permettent à un utilisateur distant d'exécuter du code arbitraire avec les privilèges du serveur Keyserver qui sont en général ceux de l'administrateur root.
4.6 OpenLDAP
Une vulnérabilité du serveur OpenLDAP rend ce serveur vulnérable à un déni de service par arrêt (crash du serveur).
Contournement provisoire
Filtrez l'accès aux ports suivants pour limiter l'exploitation des vulnérabiltés :
- ldap 389/tcp
- ldap 389/ucp
pour le protocole ldap (Lightweight Directory Access Protocol); - ldaps 636/tcp
- ldaps 636/ucp
pour le protocole ldaps (protocole ldap sur TLS/SSL - anciennement sldap).
Solution
Contactez votre revendeur pour obtenir une mise à jour :
-
IBM :
http://www.ibm.com/support -
Lotus Development Corporation :
http://www.notes.net/qmrdown.nsf/qmrwelcome -
Microsoft :
http://www.microsoft.com/support -
OpenLDAP Project :
http://openLDAP.org/software/download
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Microsoft | N/A | Microsoft Exchange 5.5 LDAP Service ; | ||
| OpenLDAP | N/A | les versions d'OpenLDAP version 1.2.11 et antérieures et version 2.0.7 et antérieures. | ||
| N/A | N/A | les versions de Lotus Domino R5 Server antérieures à 5.0.7a ; | ||
| Oracle | N/A | Oracle Internet Directory version 2.1.1.0.0 ; | ||
| N/A | N/A | Netscape / iPlanet Directory Server version 5.0 Beta, version 4.13 et antérieures ; | ||
| Microsoft | Windows | IBM SecureWay Directory sous Solaris et Windows 2000 version 3.2 et antérieures ; |
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Exchange 5.5 LDAP Service ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "les versions d\u0027OpenLDAP version 1.2.11 et ant\u00e9rieures et version 2.0.7 et ant\u00e9rieures.",
"product": {
"name": "N/A",
"vendor": {
"name": "OpenLDAP",
"scada": false
}
}
},
{
"description": "les versions de Lotus Domino R5 Server ant\u00e9rieures \u00e0 5.0.7a ;",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "Oracle Internet Directory version 2.1.1.0.0 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Oracle",
"scada": false
}
}
},
{
"description": "Netscape / iPlanet Directory Server version 5.0 Beta, version 4.13 et ant\u00e9rieures ;",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "IBM SecureWay Directory sous Solaris et Windows 2000 version 3.2 et ant\u00e9rieures ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\n## 4.1 Netscape / iPlanet Directory Server\n\nLe code charg\u00e9 de traiter les requ\u00eates LDAP pr\u00e9sente des vuln\u00e9rabilit\u00e9s\npermettant \u00e0 un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code\narbitraire avec les droits du Directory Server qui sont en g\u00e9n\u00e9ral ceux\nde l\u0027administrateur root.\n\nCes vuln\u00e9rabilt\u00e9s sont exploitables \u00e0 distance.\n\n## 4.2 IBM SecureWay Directory\n\nDes vuln\u00e9rabilit\u00e9s permettent \u00e0 un utilisateur mal intentionn\u00e9 de\nprovoquer un d\u00e9ni de service sur le serveur. Il est possible que ces\nvuln\u00e9rabilit\u00e9s permettent en plus d\u0027ex\u00e9cuter du code arbitraire.\n\nCes vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes sous Solaris et Windows 2000, et sont\nexploitables \u00e0 distance, mais les plates-formes Windows NT et AIX ne\nsont pas vuln\u00e9rables.\n\n## 4.3 Lotus Domino R5 Server\n\nDes vuln\u00e9rabilit\u00e9s permettent \u00e0 un utilisateur distant d\u0027ex\u00e9cuter du\ncode arbitraire avec les privil\u00e8ges du server Domino qui sont en g\u00e9n\u00e9ral\nceux de l\u0027administrateur root.\n\n## 4.4 Microsoft Exchange\n\nUne vuln\u00e9rabilit\u00e9 dans le traitement des requ\u00eates LDAP rend les serveurs\nLDAP de Microsoft Exchange 5.5 vuln\u00e9rables \u00e0 un d\u00e9ni de service.\n\nCette vuln\u00e9rabilit\u00e9 est exploitable \u00e0 distance.\n\n## 4.5 Oracle Internet Directory\n\nDe multiples vuln\u00e9rabilit\u00e9s permettent \u00e0 un utilisateur distant\nd\u0027ex\u00e9cuter du code arbitraire avec les privil\u00e8ges du serveur Keyserver\nqui sont en g\u00e9n\u00e9ral ceux de l\u0027administrateur root.\n\n## 4.6 OpenLDAP\n\nUne vuln\u00e9rabilit\u00e9 du serveur OpenLDAP rend ce serveur vuln\u00e9rable \u00e0 un\nd\u00e9ni de service par arr\u00eat (crash du serveur).\n\n## Contournement provisoire\n\nFiltrez l\u0027acc\u00e8s aux ports suivants pour limiter l\u0027exploitation des\nvuln\u00e9rabilt\u00e9s :\n\n- ldap 389/tcp\n- ldap 389/ucp \n pour le protocole ldap (Lightweight Directory Access Protocol); \n- ldaps 636/tcp\n- ldaps 636/ucp \n pour le protocole ldaps (protocole ldap sur TLS/SSL - anciennement\n sldap).\n\n## Solution\n\nContactez votre revendeur pour obtenir une mise \u00e0 jour :\n\n- IBM :\n\n http://www.ibm.com/support\n\n- Lotus Development Corporation :\n\n http://www.notes.net/qmrdown.nsf/qmrwelcome\n\n- Microsoft :\n\n http://www.microsoft.com/support\n\n- OpenLDAP Project :\n\n http://openLDAP.org/software/download\n",
"cves": [],
"links": [
{
"title": "avis de s\u00e9curit\u00e9 Oracle :",
"url": "http://otn.oracle.com/deploy/security/pdf/oid_cert_bof.pdf"
},
{
"title": "Avis de s\u00e9curit\u00e9 CA-2001-18 du Cert/CC :",
"url": "http://www.cert.org/advisories/CA-2001-18.html"
}
],
"reference": "CERTA-2001-AVI-157",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-12-03T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "D\u00e9ni de service"
},
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "De nombreuses impl\u00e9mentations du protocole LDAP (Lightweight Directory\nAccess Protocol) contiennent des vuln\u00e9rabilit\u00e9s permettant \u00e0 un\nutilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire, d\u0027\u00e9lever ses\nprivil\u00e8ges, ou de provoquer des d\u00e9nis de service.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s d\u0027impl\u00e9mentations LDAP",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis CA-2001-18 du CERT/CC",
"url": null
}
]
}