製品アップデートのお知らせ
OpenLDAPのセキュリティ脆弱性の情報が公表されています。
- CVE-2020-36221
- CVE-2020-36222
- CVE-2020-36223
- CVE-2020-36224
- CVE-2020-36225
- CVE-2020-36226
- CVE-2020-36227
- CVE-2020-36228
- CVE-2020-36229
- CVE-2020-36230
対象
- OSSTech OpenLDAP 2.4.57-169 より前のバージョン
問題の概要
- CVE-2020-36221 の脆弱性
- schema_init.c の serialNumberAndIssuerCheck()の整数アンダーフローの脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることでslapdサービスの異常終了を引き起こせる問題を修正
- CVE-2020-36222 の脆弱性
- saslAuthzToのバリデーション処理における脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることでslapdサービスの異常終了を引き起こせる問題を修正
- CVE-2020-36223 の脆弱性
- 値の戻りフィルター処理の脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることで、slapdサービスの異常終了を引き起こせる問題を修正
- CVE-2020-36224 の脆弱性
- saslAuthzToのNULLポインタに対するfree()による脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることでslapdサービスの異常終了を引き起こせる問題を修正
- CVE-2020-36225 の脆弱性
- saslAuthzToの二重free()による脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることでslapdサービスの異常終了を引き起こせる問題を修正
- CVE-2020-36226 の脆弱性
- saslAuthzToの処理内の計算誤りで不適切なメモリ領域へのアクセスによる脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることでslapdサービスの異常終了を引き起こせる問題を修正
- CVE-2020-36227 の脆弱性
- cancel exop操作の脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることで、slapdサービスの処理が無限ループによって停止する問題を修正
- CVE-2020-36228 の脆弱性
- schema_init.c の issuerAndThisUpdateCheck()の整数アンダーフローの脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることでslapdサービスの異常終了を引き起こせる問題を修正
- CVE-2020-36229 の脆弱性
- X.509のDNの解析処理の脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることでslapdサービスの異常終了を引き起こせる問題を修正
- CVE-2020-36230 の脆弱性
- X.509のDNのデコード処理の脆弱性により、リモートから悪意のあるユーザーが細工したパケットを送りつけることでslapdサービスの異常終了を引き起こせる問題を修正
アップデートパッケージの入手方法
お客様がご利用中の OpenLDAP の環境について、下記の動作 OS、ご利用中のOpenLDAPのバージョンの情報をご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
OS について
- Red Hat Enterprise Linux 7 / CentOS 7 (x86-64)
- Red Hat Enterprise Linux 8 / CentOS 8 (x86-64)
OpenLDAP のバージョンについて
下記のコマンドでご確認ください。
$ rpm -q osstech-openldap
リリースノート
その他の修正内容についてはリリースノートに記載しております。