OpenLDAP sérülékenységek

2011. február 15. 08:37

CH azonosító

CH-4373

Angol cím

OpenLDAP Two Security Bypass Vulnerabilities

Felfedezés dátuma

2011.02.13.

Súlyosság

Alacsony

Érintett rendszerek

OpenLDAP
OpenLDAP Foundation

Érintett verziók

OpenLDAP 2.4.x

Összefoglaló

Az OpenLDAP két sérülékenységét jelentették, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági szabályokat.

Leírás

A “back-ldap” komponens egy hibáját kihasználva, amikor a slave szerver továbbítja a hibás jelszó eseményt a master szervernek, egy érvénytelen jelszóval is lehet authentikálni.
A hiba sikeres kihasznásának feltétele, hogy a master és a slave szerver használja a “ppolicy_forward_updates” beállítást.
A “back-ndb” komponens authentikáció kezelésben lévő hibát kihasználva, ami a “rootdn” Distinguished Name-t (DN) érinti, tetszőleges műveletet lehet végrehajtani (pl. keresés vagy update) érvényes jelszó nélkül.
A hiba sikeres kihasználásához a slapd.conf állományban beállított “rootdn” érték ismerete szükséges.

A sérülékenységeket a 2.4.24 előtti kiadásokban jelentették.

Hivatkozások

Gyártói referencia: www.openldap.org
Gyártói referencia: www.openldap.org
SECUNIA 43331

Legfrissebb sérülékenységek

CVE-2026-1603 – Ivanti Endpoint Manager (EPM) Authentication Bypass sérülékenység

CVE-2025-26399 – SolarWinds Web Help Desk Deserialization of Untrusted Data sérülékenység

CVE-2021-22054 – Omnissa Workspace ONE Server-Side Request Forgery sérülékenység

CVE-2023-41974 – Apple iOS and iPadOS Use-After-Free sérülékenység

CVE-2021-30952 – Apple Multiple Products Integer Overflow or Wraparound sérülékenység

CVE-2023-43000 – Apple Multiple products Use-After-Free sérülékenység

CVE-2021-22681 – Rockwell Multiple Products Insufficient Protected Credentials sérülékenység

CVE-2017-7921 – Hikvision Multiple Products Improper Authentication sérülékenység

CVE-2026-27636 – FreeScout sérülékenysége

CVE-2026-28289 – FreeScout sérülékenysége

Tovább a sérülékenységekhez »

OpenLDAP sérülékenységek