Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4165-1 ldap-account-manager

Bulletin d'alerte Debian

DSA-4165-1 ldap-account-manager -- Mise à jour de sécurité

Date du rapport :

3 avril 2018

Paquets concernés :

ldap-account-manager

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-8763, CVE-2018-8764.

Plus de précisions :

Michal Kedzior a découvert deux vulnérabilités dans LDAP Account Manager, un frontal web pour les répertoires LDAP.

• CVE-2018-8763

  La vulnérabilité par script intersite réfléchi (XSS) découverte pourrait permettre à un attaquant d'exécuter du code JavaScript dans le navigateur de la victime ou la rediriger vers un site web malveillant si la victime clique sur un lien contrefait pour l'occasion.

• CVE-2018-8764

  L'application divulgue le jeton CSRF dans l'URL, ce qui peut être utilisé par un attaquant pour réaliser une attaque de contrefaçon de requête intersite, dans laquelle une victime connectée à LDAP Account Manager pourrait réaliser des actions non désirées dans le frontal en cliquant sur un lien contrefait par l'attaquant.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 4.7.1-1+deb8u1.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 5.5-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ldap-account-manager.

Pour disposer d'un état détaillé sur la sécurité de ldap-account-manager, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ldap-account-manager