Säkerhetsbulletin från Debian

DSA-1517-1 ldapscripts -- programmeringsfel

Rapporterat den:

2008-03-15

Berörda paket:

ldapscripts

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 445582.
I Mitres CVE-förteckning: CVE-2007-5373.

Ytterligare information:

Don Armstrong upptäckte att ldapscripts, en svit med verktyg för att manipulera användarkonton i LDAP, sänder lösenordet som ett kommandoradsargument när det anropar LDAP-program, vilket kunde göra det möjligt för en lokal angripare att läsa lösenordet från processlistan.

Den gamla stabila utgåvan (Sarge) innehåller inte något ldapscripts-paket.

För den stabila utgåvan (Etch) har detta problem rättats i version 1.4-2etch1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.7.1-2.

Vi rekommenderar att ni uppgraderar ert ldapscripts-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4.orig.tar.gz; http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.diff.gz; http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.dsc
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.