Oracle Linux 7：389-ds-base (ELSA-2015-0416)

medium Nessus 插件 ID 81724

语言：

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2015:0416：

更新后的 389-ds-base 程序包修复了两个安全问题和多个缺陷并添加了多种增强，现在可用于 Red Hat Enterprise Linux 7。

Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

389 Directory Server 是一款符合 LDAPv3 的服务器。基础程序包中包含轻型目录访问协议 (LDAP) 服务器和用于管理服务器的命令行实用工具。

在 389 目录服务器存储变更日志中（通过“cn=changelog”LDAP 子树暴露）的信息的方式中发现信息泄露缺陷。未经认证的用户在某些情况下可利用此缺陷读取变更日志中的数据，其中可能包括明文密码之类的敏感信息。
(CVE-2014-8105)

已发现将 nsslapd-unhashed-pw-switch 389 目录服务器配置选项设置为“off”时，无法阻止将反哈希的密码写入变更日志中。这可允许经过认证且可访问变更日志的用户读取敏感信息。(CVE-2014-8112)

CVE-2014-8105 问题是 Red Hat 身份管理工程团队的 Petr Špaček 发现的，而 CVE-2014-8112 问题是 Red Hat 身份管理工程团队的 Ludwig Krispenz 发现的。

增强：

* 添加了新的 WinSync 配置参数 winSyncSubtreePair 用于同步多个子树，还添加了 winSyncWindowsFilter 和 winSyncDirectoryFilter 用于按过滤器同步受限的集合。
(BZ# 746646)

* 现在能够在无需重新启动服务器以使变更生效的情况下停止、开始或配置插件。(BZ#994690)

* 与 MODDN 和 MODRDN 操作相关的访问控制已更新：可在同一个访问控制指令中指定来源和目的目标。(BZ#1118014)

* 添加了 nsDS5ReplicaBindDNGroup 属性，以便在要复制的绑定中使用群组识别名称。(BZ#1052754)

* WinSync 现在支持范围检索。如果每个属性中存在的属性值均超过 MaxValRange 数目，WinSync 会使用范围检索将所有属性同步至目录服务器。
(BZ#1044149)

* 添加了对 RFC 4527 读取条目控制和 RFC 4533 内容同步操作 LDAP 标准的支持。（BZ#1044139、BZ#1044159）

* 参照完整性 (referint) 插件现在可使用交替配置区域。PlugInArg 插件配置现在使用唯一的配置属性。配置更改不再需要重新启动服务器。(BZ#1044203)

* logconv.pl 日志分析工具现在支持 gzip、bzip2 和 xz 压缩文件，同时还支持这些文件的 TAR 存档和压缩 TAR 存档。(BZ#1044188)

* 只有目录管理器可以添加编码密码或强制用户在重置后更改其密码。passwordAdminDN 属性中定义的用户现在也可以执行此操作。(BZ#1118007)

* 已将“nsslapd-memberofScope”配置参数添加到 MemberOf 插件。在启用 MemberOf 并定义了范围的情况下，通过 MODRDN 操作将群组移出范围的尝试会失败。将成员条目移出范围现在会正确地删除 memberof 值。
(BZ#1044170)

* 已将 alwaysRecordLoginAttr 属性添加至帐户策略插件配置条目，从而允许区分用于检查帐户活动情况的属性和要在成功登录时进行更新的属性。(BZ#1060032)

* 使用具有 '-s base -b'' 选项的 ldapsearch 命令的根 DSE 搜索仅返回用户属性而不返回操作属性。添加了“nsslapd-return-default”选项以向后兼容。(BZ#1118021)

* MemberOf 插件的配置能够以映射到后端数据库的后缀进行存储，这允许复制 MemberOf 配置。(BZ#1044205)

* 根据系统中提供的 NSS 库支持的范围，添加了对 SSL 版本的支持。由于存在 POODLE 漏洞，因而即使受到 NSS 支持也将默认禁用 SSLv3。(BZ#1044191)