Информация по безопасности / 2018 / Информация о безопасности -- DSA-4165-1 ldap-account-manager

Рекомендация Debian по безопасности

DSA-4165-1 ldap-account-manager -- обновление безопасности

Дата сообщения:

03.04.2018

Затронутые пакеты:

ldap-account-manager

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2018-8763, CVE-2018-8764.

Более подробная информация:

Михал Кедзиор обнаружил две уязвимости в LDAP Account Manager, веб-интерфейсе для каталогов LDAP.

• CVE-2018-8763

  Обнаруженный отражённый межсайтовый скриптинг (XSS) может позволить злоумышленнику выполнить код JavaScript в браузере жертвы или перенаправить её на вредоносный веб-сайт в случае, если жертва открывает специально сформированную ссылку.

• CVE-2018-8764

  Приложение раскрывает CSRF-токен в URL, который используется злоумышленником для выполнения подделки межсайтовых запросов, когда жертва, выполнившая вход в LDAP Account Manager, может выполнять нежелательные действия в интерфейсе, открывая специально сформированную злоумышленником ссылку.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 4.7.1-1+deb8u1.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 5.5-1+deb9u1.

Рекомендуется обновить пакеты ldap-account-manager.

С подробным статусом поддержки безопасности ldap-account-manager можно ознакомиться на соответствующей странице отслеживания безопасности по адресу: https://security-tracker.debian.org/tracker/ldap-account-manager