CERTA-2002-AVI-013
Vulnerability from certfr_avis

Une mauvaise vérification des permissions des utilisateurs permet à l'un d'entre de supprimer des attributs d'un objet LDAP ne lui appartenant pas.

Description

Une mauvaise vérification des ACL (Access Control Lists) sous OpenLDAP permet à un utilisateur authentifié de remplacer les attributs d'un objet LDAP ne lui appartenant pas par une liste d'attributs vide. Il faut cependant savoir que les attributs propres à l'objet ne seront pas supprimés par cette manipulation.

Solution

Installer la version 2.0.21 de OpenLDAP :

ftp://ftp.openladap.org/pub/OpenLDAP/openldap-release/openldap-2.0.21.tgz

Tout système avec OpenLDAP de la version 2.0.0 à 2.0.19 installé.

Impacted products
Vendor Product Description
References
Bulletin de sécurité RedHat None vendor-advisory

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout syst\u00e8me avec OpenLDAP de la version 2.0.0 \u00e0 2.0.19  install\u00e9.\u003c/P\u003e",
  "content": "## Description\n\nUne mauvaise v\u00e9rification des ACL (Access Control Lists) sous OpenLDAP\npermet \u00e0 un utilisateur authentifi\u00e9 de remplacer les attributs d\u0027un\nobjet LDAP ne lui appartenant pas par une liste d\u0027attributs vide. Il\nfaut cependant savoir que les attributs propres \u00e0 l\u0027objet ne seront pas\nsupprim\u00e9s par cette manipulation.\n\n## Solution\n\nInstaller la version 2.0.21 de OpenLDAP :\n\n    ftp://ftp.openladap.org/pub/OpenLDAP/openldap-release/openldap-2.0.21.tgz\n",
  "cves": [],
  "initial_release_date": "2002-01-25T00:00:00",
  "last_revision_date": "2002-01-25T00:00:00",
  "links": [],
  "reference": "CERTA-2002-AVI-013",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-01-25T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Modification illicite des droits associ\u00e9s \u00e0 un objet ldap"
    }
  ],
  "summary": "Une mauvaise v\u00e9rification des permissions des utilisateurs permet \u00e0 l\u0027un\nd\u0027entre de supprimer des attributs d\u0027un objet LDAP ne lui appartenant\npas.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de OpenLDAP",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.