Scientific Linux 安全更新：SL5.x i386/x86_64 中的 openldap

medium Nessus 插件 ID 60771

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

已在 OpenLDAP 处理 X.509 证书的 CommonName 字段中的 NUL 字符的方式中发现一个缺陷。能够获得精心构建的由受信任的证书颁发机构签名的证书的攻击者可以诱骗使用 OpenLDAP 库的应用程序错误地接受该证书，从而允许攻击者执行中间人攻击。(CVE-2009-3767)

此更新还修复以下缺陷：

- ldap init 脚本未提供修改 slapd 后台程序系统限制的方法。“/etc/sysconfig/ldap”中现在提供用于此选项的变量。
(BZ#527313)

- 当存在大量网络接口时，使用 OpenLDAP 库来联系 Microsoft Active Directory 服务器的应用程序可能崩溃。此更新在 OpenLDAP 库代码中实现锁定以解决此问题。(BZ#510522)

- 当 slapd 配置为允许客户端证书时，大约有 90% 的连接冻结，原因是 CA 证书文件太大以及 slapd 未检查 SSL 握手是否成功。(BZ#509230)

- OpenLDAP 服务器将在高负载下因未知原因而冻结。这些程序包添加对新线程接受传入连接的支持，从而解决该问题。(BZ#507276)

- compat-openldap 库未列出与其他库之间的依存关系，导致未专门指定库的程序出现故障。此更新已添加对 64 位系统上使用的应用程序二进制接口 (ABI) 的检测。(BZ#503734)

- 由于未处理的网络超时，OpenLDAP 库造成应用程序崩溃。现在将 NULL 传递到 LDAP 时会传递值为 -1 的 timeval。(BZ#495701)

- 在使用 rwm 叠加时，重负载服务器上的 slapd 可能崩溃，原因是在操作清除期间释放未分配的内存。(BZ#495628)

- ldap init 脚本在“/tmp”中生成临时脚本，并尝试执行该脚本。通过 noexec 选项挂载“/tmp/”时会发生问题。不再创建这些临时脚本。(BZ#483356)

- ldap init 脚本始终启动在 ldap:/// 上监听的 slapd，即使被指示仅在 ldaps:/// 上监听。
通过修正 init 脚本，用户现在可以选择 slapd 应监听的端口。(BZ#481003)

- slapd 手册页未提及支持的选项 -V 和 -o。（BZ#468206）

- slapd.conf 有一个被注释掉的选项，可加载 syncprov.la 模块。取消注释之后，slapd 会在启动时崩溃，因为该模块已静态链接到 OpenLDAP。此更新从 slapd.conf 中删除“moduleload syncprov.la”，从而解决此问题。
(BZ#466937)

- migrate_automount.pl 脚本生成不受 autofs 支持的输出。此问题通过更新 automount 记录的输出 LDIF 格式得到修正。(BZ#460331)

- ldap init 脚本在关闭 slapd 时使用 TERM 信号加 KILL 信号。如果未完成保存 LDAP 数据库的状态，两个信号之间最轻微的延迟也可造成该数据库损坏。已通过“/etc/sysconfig/ldap”中的“STOP_DELAY”选项添加这些信号之间的延迟。
(BZ#452064)

- 当数字字段仅包含零时，migrate_passwd.pl 迁移脚本存在一个问题。此类字段被视为空，从而导致 LDIF 输出中未设置属性。已修正 dump_shadow_attributes 中的条件以允许这些属性仅包含零。(BZ#113857)

- migrate_base.pl 迁移脚本未正确处理第三级别的域，从而生成无法被具有第三级库的数据库所支持的第二级域。现在通过将 migrate_base.pl 脚本修改为仅生成一个域来允许此操作。
(BZ#104585)