■概要

OpenLDAP（*１） には，複数の脆弱性があります．結果として，遠隔の第三者が細工したリクエストを OpenLDAP サーバに送ることで，任意のコードを実行したり，サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります．

注：（*1）広く使われているディレクトリサービス，LDAP（Lightweight Directory Access Protocol）のオープンソース実装．OpenLDAP Projectによって開発され，独自のOpenLDAP Public Licenseによってリリースされている．
ディレクトリサービスは，ネットワーク上のリソース（コンピュータ，ユーザなど）を管理・検索するサービス．Windowsだけで構成されるネットワークでは，マイクロソフト社のActive Directoryが多く使われるが，オープン系のネットワークでは，LDAPが最も多く使われる．

■情報源

CERT-FI Reports
CERT-FI Advisory on OpenLDAP
http://www.cert.fi/en/reports/2010/vulnerability383115.html

DOE-CIRC Technical Bulletin T-399
OpenLDAP 'modrdn' Request Multiple Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-399.shtml

■対象
 対象となる製品は以下の通りです．

- OpenLDAP 2.4.23 より前のバージョン

この問題は，使用している OS のベンダや配布元が提供する修正済みのバージョンに OpenLDAP を更新することで解決します．

■関連文書（英語）

OpenLDAP Foundation
SECURITY: Two OpenLDAP preauth vulnerabilities
http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6570

OpenLDAP Foundation
2.4.23 Release Changes
http://www.openldap.org/software/release/changes.html

Red Hat Security Advisory RHSA-2010:0542-1
Moderate: openldap security update
https://rhn.redhat.com/errata/RHSA-2010-0542.html

Red Hat Security Advisory RHSA-2010:0543-1
Moderate: openldap security update
https://rhn.redhat.com/errata/RHSA-2010-0543.html