阿里云漏洞库

中危 Red Hat slapi-nis插件拒绝服务漏洞

CVE编号

CVE-2015-0283

利用情况

暂无

补丁情况

官方补丁

披露时间

2015-03-31

漏洞描述

slapi-nis是一个目录服务器插件，它包含了NIS服务器（主要提供是用户的账号、密码、主目录文件名、UID等信息）插件和使用Red Hat Directory Server、389 Directory Server的架构兼容性插件。

slapi-nis插件0.54.2之前版本中存在安全漏洞，由于程序处理用户账户时，未能正确重新分配内存，远程攻击者可提交特殊请求造成拒绝服务。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://git.fedorahosted.org/cgit/slapi-nis.git/commit/?id=6573f91c95f7a353ad3bdf2fe95b0c15932aa097

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2015-April/154314.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-March/154103.html
http://rhn.redhat.com/errata/RHSA-2015-0728.html
http://www.securityfocus.com/bid/73377
https://bugzilla.redhat.com/show_bug.cgi?id=1195729
https://git.fedorahosted.org/cgit/slapi-nis.git/commit/?id=6573f91c95f7a353ad...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	slapi-nis	*		Up to (including) 0.54.1
	运行在以下环境
	系统	centos_7	ipa-server	*		Up to (excluding) 4.1.0-18.el7.centos.3
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0.54.2-1
	运行在以下环境
	系统	debian_10	slapi-nis	*		Up to (excluding) 0.54.2-1
	运行在以下环境
	系统	debian_11	slapi-nis	*		Up to (excluding) 0.54.2-1
	运行在以下环境
	系统	debian_12	slapi-nis	*		Up to (excluding) 0.54.2-1
	运行在以下环境
	系统	fedora_21	freeipa	*		Up to (excluding) 4.1.4-1.fc21
	运行在以下环境
	系统	fedora_22	freeipa	*		Up to (excluding) 4.1.4-1.fc22
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 4.1.0-18.0.1.el7_1.3
	运行在以下环境
	系统	redhat_7	slapi-nis	*		Up to (excluding) 4.1.0-18.el7_1.3
	运行在以下环境
	系统	ubuntu_16.04.7_lts	slapi-nis	*		Up to (excluding) 0.55-1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	slapi-nis	*		Up to (excluding) 0.55-1
	运行在以下环境
	系统	ubuntu_18.10	slapi-nis	*		Up to (excluding) 0.55-1

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

N/A
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-399	资源管理错误