DoS-LĂĽcken in OpenLDAP
Die Entwickler des Verzeichnisservers OpenLDAP haben die Version 2.3.39 herausgegeben, die auch Denial-of-Service-Schwachstellen behebt.
In der aktuellen Version 2.3.39 des quelloffenen Verzeichnisservers OpenLDAP haben die Entwickler Lücken geschlossen, durch die Angreifer den Server zum Absturz bringen konnten. Wenn der Server in älteren Versionen als Proxy läuft, kann durch nicht korrekt NULL-terminierte Filterlisten ein ungültiger Speicherzugriff erfolgen und der slapd abstürzen. Bei der internen Umwandlung von Werten in objectClasses können unter Umständen Fehler auftreten, die ebenfalls zum unfreiwilligen Beenden des Dienstes führen.
Im Changelog in der AnkĂĽndigung der aktualisierten Softwareversion finden sich noch weitere kleinere Fehler, die die Programmierer korrigiert haben. Administratoren, die OpenLDAP einsetzen, sollten bei Gelegenheit das Update einspielen.
Siehe dazu auch:
- OpenLDAP 2.3.39 available, AnkĂĽndigung der Version 2.3.39 und Changelog von den Entwicklern
- Download der aktuellen OpenLDAP-Version
- ldapadd with 'objectClasses' instead of 'objectClass' brings slapd down, Fehlerbericht im Debian-Bugtracking-System
- slapd segfaults when running as proxy-caching server, Fehlermeldung im OpenLDAP-Bugtracking-System
(dmk)
