Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4165-1 ldap-account-manager

Aviso de seguridad de Debian

DSA-4165-1 ldap-account-manager -- actualización de seguridad

Fecha del informe:

3 de abr de 2018

Paquetes afectados:

ldap-account-manager

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2018-8763, CVE-2018-8764.

Información adicional:

Michal Kedzior encontró dos vulnerabilidades en LDAP Account Manager, una interfaz web para directorios LDAP.

• CVE-2018-8763

  Se ha encontrado una vulnerabilidad de cross site scripting (XSS) reflejado que podría permitir a un atacante ejecutar código JavaScript en el navegador de la víctima o redireccionarla a un sitio web malicioso si hace clic en un enlace manipulado de una forma determinada.

• CVE-2018-8764

  La aplicación difunde el token CSRF en la URL, lo que puede ser usado por un atacante para llevar a cabo un ataque de falsificación de petición en sitios cruzados: una víctima conectada a LDAP Account Manager podría realizar en la interfaz acciones no deseadas al hacer clic en un enlace manipulado por el atacante.

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 4.7.1-1+deb8u1.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 5.5-1+deb9u1.

Le recomendamos que actualice los paquetes de ldap-account-manager.

Para información detallada sobre el estado de seguridad de ldap-account-manager consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/ldap-account-manager