CERTA-2002-AVI-013

Vulnerability from certfr_avis - Published: - Updated:

Une mauvaise vérification des permissions des utilisateurs permet à l'un d'entre de supprimer des attributs d'un objet LDAP ne lui appartenant pas.

Description

Une mauvaise vérification des ACL (Access Control Lists) sous OpenLDAP permet à un utilisateur authentifié de remplacer les attributs d'un objet LDAP ne lui appartenant pas par une liste d'attributs vide. Il faut cependant savoir que les attributs propres à l'objet ne seront pas supprimés par cette manipulation.

Solution

Installer la version 2.0.21 de OpenLDAP :

ftp://ftp.openladap.org/pub/OpenLDAP/openldap-release/openldap-2.0.21.tgz

Tout système avec OpenLDAP de la version 2.0.0 à 2.0.19 installé.

Impacted products
Vendor Product Description
References
Bulletin de sécurité RedHat None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout syst\u00e8me avec OpenLDAP de la version 2.0.0 \u00e0 2.0.19  install\u00e9.\u003c/P\u003e",
  "content": "## Description\n\nUne mauvaise v\u00e9rification des ACL (Access Control Lists) sous OpenLDAP\npermet \u00e0 un utilisateur authentifi\u00e9 de remplacer les attributs d\u0027un\nobjet LDAP ne lui appartenant pas par une liste d\u0027attributs vide. Il\nfaut cependant savoir que les attributs propres \u00e0 l\u0027objet ne seront pas\nsupprim\u00e9s par cette manipulation.\n\n## Solution\n\nInstaller la version 2.0.21 de OpenLDAP :\n\n    ftp://ftp.openladap.org/pub/OpenLDAP/openldap-release/openldap-2.0.21.tgz\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-013",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-01-25T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Modification illicite des droits associ\u00e9s \u00e0 un objet ldap"
    }
  ],
  "summary": "Une mauvaise v\u00e9rification des permissions des utilisateurs permet \u00e0 l\u0027un\nd\u0027entre de supprimer des attributs d\u0027un objet LDAP ne lui appartenant\npas.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de OpenLDAP",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.