JVNDB-2006-000951

JVNDB-2006-000951
OpenLDAP における slapd でのアクセスコントロールの不備により DN が変更される問題
概要
OpenLDAP の slapd には、selfwrite アクセスコントロールの処理に不備が存在するために、任意の Distinguished Names (DN) を変更されてしまう問題があります。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 2.3 (注意) [NVD値] 攻撃元区分: 隣接攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

OpenLDAP Foundation OpenLDAP 2.3.24 およびそれ以前サイバートラスト株式会社 Asianux Server 4.0 Asianux Server 4.0 (x86-64) Asianux Server 3.0 Asianux Server 3.0 (x86-64) レッドハット Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux Desktop 4.0 Red Hat Enterprise Linux Desktop 3.0

想定される影響
selfwrite アクセス権を持つ悪意あるユーザにより、不正に Distinguished Names (DN) を変更される可能性があります。
対策
ベンダより正式な対策が公開されています (OpenLDAP 2.3.25 で修正済み)。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
OpenLDAP Foundation OpenLDAP Issue Tracking System : ITS#4587 Release Changes : OpenLDAP 2.3.25 Release (2006/08/01) サイバートラスト株式会社 MIRACLE LINUX アップデート情報 : openldap (V4.0) MIRACLE LINUX アップデート情報 : openldap (V3.0) レッドハット Red Hat Security Advisory : RHSA-2007:0310 Red Hat Security Advisory : RHSA-2007:0430 レッドハットセキュリティーアップデート : RHSA-2007:0310
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2006-4600
参考情報
National Vulnerability Database (NVD) : CVE-2006-4600 Secunia Advisory : SA21721 SecurityFocus : 19832 ISS X-Force Database : 28772 SecurityTracker : 1016783
更新履歴
[2007年05月22日] 掲載 [2007年06月15日] 影響を受けるシステムを更新しました。ベンダ情報: レッドハットの情報を追加しました。 [2007年06月22日] 影響を受けるシステムを更新しました。ベンダ情報: ミラクル・リナックスの情報を追加しました。


公表日	2006/09/06
登録日	2007/05/22
最終更新日	2007/06/22

OpenLDAP における slapd でのアクセスコントロールの不備により DN が変更される問題