Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4165-1 ldap-account-manager

Debians sikkerhedsbulletin

DSA-4165-1 ldap-account-manager -- sikkerhedsopdatering

Rapporteret den:

3. apr 2018

Berørte pakker:

ldap-account-manager

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2018-8763, CVE-2018-8764.

Yderligere oplysninger:

Michal Kedzior fandt to sårbarheder i LDAP Account Manager, en webfrontend til LDAP-kataloger.

• CVE-2018-8763

  Den fundne Reflected Cross Site Scripting-sårbarhed (XSS) kunne gøre det muligt for en angriber, at udføre JavaScript-kode i offerets browser eller at viderestille vedkommende til et ondsindet websted, hvis offeret klikker på et særligt fremstillet link.

• CVE-2018-8764

  Applikationen lækker CSRF-tokenet i URL'en, hvilket kunne anvendes af en angriber til at iværksætte et Cross-Site Request Forgery-angreb, i hvilket et offer logget ind i LDAP Account Manager, måske kunne udføre uønskede handlinger i frontend'en, ved at klikke på et link, fabrikeret af angriberen.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 4.7.1-1+deb8u1.

I den stabile distribution (stretch), er disse problemer rettet i version 5.5-1+deb9u1.

Vi anbefaler at du opgraderer dine ldap-account-manager-pakker.

For detaljeret sikkerhedsstatus vedrørende ldap-account-manager, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/ldap-account-manager