Boletines de Vulnerabilidades |
Escape de información sobre el servicio LDAP en Kolab Server |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de privilegios |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | Kolab Server <=1.0.8 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en la versión 1.0.8 y anteriores de Kolab Server. La vulnerabilidad reside en que el password de root de OpenLDAP se guarda en texto plano en el archivo slapd.conf y la función build() de Kolab Server da permisos de lectura para todo el mundo al archivo slapd.conf con lo que cualquier usuario podría obtener el password de root del servicio OpenLDAP. La explotación de esta vulnerabilidad podría permitir a un atacante local obtener el password de root del servicio OpenLDAP. |
|
Solución |
|
|
Actualización de software Mandrake Linux Mandrakelinux 10.0 i386 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/kolab-server-1.0-0.23.100mdk.i586.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/SRPMS/kolab-server-1.0-0.23.100mdk.src.rpm AMD64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/amd64/10.0/RPMS/kolab-server-1.0-0.23.100mdk.amd64.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/amd64/10.0/SRPMS/kolab-server-1.0-0.23.100mdk.src.rpm |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
Kolab-users mailing list http://www.kolab.org/pipermail/kolab-users/2004-April/000215.html Mandrakesoft Security Advisory MDKSA-2004:052 http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:052 |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2004-05-27 |