阿里云漏洞库

漏洞描述

Red Hat Directory Server是一款LDAPv3兼容的目录服务程序。

Red Hat Directory Server在处理部分Get Effective Rights (GER)搜索查询时不正确检查访问权限，远程未验证攻击者利用漏洞发送包含属性列表的特制的搜索请求，如果该列表中多个属性名使用'@'字符，389-ds-base和Red Hat Directory Server在解析时会崩溃，造成拒绝服务攻击。

解决建议

用户可参考如下厂商提供的安全公告获得补丁信息：
https://rhn.redhat.com/errata/RHSA-2013-1753.html

参考链接
http://rhn.redhat.com/errata/RHSA-2013-1752.html
http://rhn.redhat.com/errata/RHSA-2013-1753.html
http://secunia.com/advisories/55765

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	fedoraproject	389_directory_server	1.2.11.15	-
	运行在以下环境
	应用	redhat	directory_server	*		Up to (including) 8.2
	运行在以下环境
	应用	redhat	directory_server	7.1	-
	运行在以下环境
	应用	redhat	directory_server	8.0	-
	运行在以下环境
	应用	redhat	directory_server	8.1	-
	运行在以下环境
	系统	amazon_AMI	389-ds-base	*		Up to (excluding) 1.3.1.16-1.8.amzn1
	运行在以下环境
	系统	centos_6	389-ds-base	*		Up to (excluding) 1.2.11.15-30.el6_5
	运行在以下环境
	系统	debian_10	389-ds-base	*		Up to (excluding) 1.3.2.9-1
	运行在以下环境
	系统	debian_11	389-ds-base	*		Up to (excluding) 1.3.2.9-1
	运行在以下环境
	系统	debian_12	389-ds-base	*		Up to (excluding) 1.3.2.9-1
	运行在以下环境
	系统	fedora_EPEL_5	389-ds-base-selinux-devel	*		Up to (excluding) 1.2.11.25-1.el5
	运行在以下环境
	系统	oracle_6	oraclelinux-release	*		Up to (excluding) 1.2.11.15-30.el6_5
	运行在以下环境
	系统	redhat	enterprise_linux	6.0	-
	运行在以下环境
	系统	redhat_6	389-ds-base	*		Up to (excluding) 0:1.2.11.15-30.el6_5
	运行在以下环境
	系统	ubuntu_14.04.6_lts	389-ds-base	*		Up to (excluding) 1.3.2.11-0ubuntu1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	389-ds-base	*		Up to (excluding) 1.3.2.11-0ubuntu1

攻击路径

远程
攻击复杂度

容易
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

低危 Red Hat 389 Directory Server/Directory Server 8 EL5 Get Effective Rights Engine 输入验证漏洞

漏洞描述

解决建议

参考链接

受影响软件情况