コンテンツ
セキュリティ情報
OpenLDAP に複数の脆弱性
2010年7月29日(木曜日)掲載
■概要
OpenLDAP(*1) には,複数の脆弱性があります.結果として,遠隔の第三者が細工したリクエストを OpenLDAP サーバに送ることで,任意のコードを実行したり,サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります.
注:(*1)広く使われているディレクトリサービス,LDAP(Lightweight Directory Access Protocol)のオープンソース実装.OpenLDAP Projectによって開発され,独自のOpenLDAP Public Licenseによってリリースされている.
ディレクトリサービスは,ネットワーク上のリソース(コンピュータ,ユーザなど)を管理・検索するサービス.Windowsだけで構成されるネットワークでは,マイクロソフト社のActive Directoryが多く使われるが,オープン系のネットワークでは,LDAPが最も多く使われる.
■情報源
CERT-FI Reports
CERT-FI Advisory on OpenLDAP
http://www.cert.fi/en/reports/2010/vulnerability383115.html
DOE-CIRC Technical Bulletin T-399
OpenLDAP 'modrdn' Request Multiple Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-399.shtml
■対象
対象となる製品は以下の通りです.
- OpenLDAP 2.4.23 より前のバージョン
この問題は,使用している OS のベンダや配布元が提供する修正済みのバージョンに OpenLDAP を更新することで解決します.
■関連文書(英語)
OpenLDAP Foundation
SECURITY: Two OpenLDAP preauth vulnerabilities
http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6570
OpenLDAP Foundation
2.4.23 Release Changes
http://www.openldap.org/software/release/changes.html
Red Hat Security Advisory RHSA-2010:0542-1
Moderate: openldap security update
https://rhn.redhat.com/errata/RHSA-2010-0542.html
Red Hat Security Advisory RHSA-2010:0543-1
Moderate: openldap security update
https://rhn.redhat.com/errata/RHSA-2010-0543.html
関連情報 |
OpenLDAP に複数の脆弱性(JPCERT/CC) |
お問い合わせ |
京都大学 情報環境部 情報基盤課 情報セキュリティ対策室
電話番号:075-753-7490/7492(内線7490/7491/7492) E-mail:i-s-office ![]() お問い合わせフォーム |