检测

RHEL 6:389-ds-base (RHSA-2013:0628)

medium Nessus 插件 ID 65206

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 389-ds-base 程序包修复了一个安全问题和多个缺陷,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

389 Directory Server 是一款符合 LDAPv3 的服务器。基础程序包中包含轻型目录访问协议 (LDAP) 服务器和用于管理服务器的命令行实用工具。

在 389 目录服务器处理 LDAPv3 控制数据的方式中发现一个缺陷。如果恶意用户能够绑定到目录(甚至是匿名绑定),并发送含有构建的 LDAPv3 控制数据的 LDAP 请求,则可能导致服务器崩溃,从而拒绝向目录提供服务。(CVE-2013-0312)

CVE-2013-0312 问题由 Red Hat 的 Thierry Bordaz 发现。

此更新还修复以下缺陷:

* 将 Red Hat Enterprise Linux 6.3 升级到版本 6.4 之后,upgrade 脚本没有更新 PamConfig 对象类的方案文件。因此,由于违反方案,不能使用 PAM 的新功能,例如多种实例的配置和 pamFilter 属性。通过此更新,upgrade 脚本更新了 PamConfig 对象类的方案文件,使新功能可以正常使用。(BZ#910994)

* 以前,valgrind 测试套件报告 modify_update_last_modified_attr() 函数反复出现内存泄漏。每次修改调用的平均泄漏大小在 60-80 字节之间。在频繁进行修改操作的环境中,这会引起重大问题。现在,modify_update_last_modified_attr() 函数不再发生内存泄漏。(BZ#910995)

* 当替换多值属性时,目录服务器 (DS) 发生故障。当执行修改的服务器配置为单一主服务器,且至少有一个复制协议时,启用复制会出现问题。因此,主服务器拒绝修改请求,返回代码 20“存在类型或值”错误消息。这些请求取代多值属性,仅在其中一个新值与当前的一个属性值相匹配但字母大小写不同时,才会出现该错误。现在,修改请求正常运行,不再返回代码 20 错误。(BZ#910996)

* 在某些情况下,DNA(分布式数值分配)插件在尝试通过 uidNumber 属性创建条目时,可能会记录带有“DB_LOCK_DEADLOCK”错误代码的错误消息。
现在,DNA 能正确处理这种情况,在尝试通过 uidNumber 属性创建条目时不再发生错误。(BZ#911467)

* Posix Winsync 插件调用不必要的内部修改函数。内部修改调用失败并记录不明确的错误消息“slapi_modify_internal_set_pb: NULL parameter”。该修补程序停止调用不必要的内部修改函数并且没有出现不明的错误消息。
(BZ#911468)

* 之前在某些情况下,在服务器终止之后或在计算机切断电源时,dse.ldif 文件有 0 字节。
因此,在启动系统后,可能无法重新启动 DS 或 IdM 系统,从而导致生产服务器中断。现在,对 dse.ldif 进行写入操作的服务器机制更为可靠,并尝试了所有可用的备份 dse.ldif 文件,不再发生中断。(BZ#911469)

* 由于对错误代码的错误解释,目录服务器将无效的链接配置设置视为磁盘已满错误并意外关闭。现在使用的是更加恰当的错误代码,并且服务器不再因为无效的链接配置设置而关闭。(BZ#911474)

* 当尝试删除 tombstone 条目时,ns-slapd 后台程序因分段错误而意外关闭。通过此更新,删除 tombstone 条目,不再导致崩溃。(BZ#914305)

建议所有 389-ds-base 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。
安装此更新后,389 服务器服务将自动重新启动。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/errata/RHSA-2013:0628

https://access.redhat.com/security/cve/cve-2013-0312

插件详情

严重性: Medium

ID: 65206

文件名: redhat-RHSA-2013-0628.nasl

版本: 1.17

类型: local

代理: unix

发布时间: 2013/3/12

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.7

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:389-ds-base, p-cpe:/a:redhat:enterprise_linux:389-ds-base-debuginfo, p-cpe:/a:redhat:enterprise_linux:389-ds-base-devel, p-cpe:/a:redhat:enterprise_linux:389-ds-base-libs, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:6.4

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2013/3/11

漏洞发布日期: 2013/3/13

参考资料信息

CVE: CVE-2013-0312

BID: 58428

RHSA: 2013:0628