Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4165-1 ldap-account-manager

Säkerhetsbulletin från Debian

DSA-4165-1 ldap-account-manager -- säkerhetsuppdatering

Rapporterat den:

2018-04-03

Berörda paket:

ldap-account-manager

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2018-8763, CVE-2018-8764.

Ytterligare information:

Michal Kedzior upptäckte två sårbarheter i kontohanteraren LDAP, ett webbgränssnitt för LDAP-kataloger.

• CVE-2018-8763

  Den upptäckta reflekterande sajtöverskridande skriptsårbarheten (XSS) kan tillåta en angripare att exekvera JavaScript-kod i offrets webbläsare eller skicka vidare henne till en illasinnad webbsida om offret klickar på en speciellt skapad länk.

• CVE-2018-8764

  Applikationen läcker CSRF-tecknet i URLen, vilket kan användas av en angripare för att utföra ett Cross-Site Request Forgery-angrepp, i vilket ett offer som är inloggat i LDAPs kontohanterare kan utföra icke önskade handlingar i framändan genom att klicka på en länk som skapats av angriparen.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 4.7.1-1+deb8u1.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 5.5-1+deb9u1.

Vi rekommenderar att ni uppgraderar era ldap-account-manager-paket.

För detaljerad säkerhetsstatus om ldap-account-manager vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/ldap-account-manager