OracleVM 3.3：openldap (OVMSA-2015-0123)

medium Nessus 插件 ID 86216

语言：

简介

远程 OracleVM 主机缺少一个或多个安全更新。

描述

远程 OracleVM 系统缺少必要修补程序来解决关键安全更新：

- CVE-2015-6908 openldap：ber_get_next 拒绝服务漏洞 (#1263171)

- 修复：因 mutex 初始化不正确而导致的 nslcd 段错误 (#1144294)

- 修复：如果使用 slapd.conf，更新 openldap 会删除数据库 (#1193519)

- 修复：ppc64：openldap-2.4.40 中的 slaptest 段错误 (#1202696)

- 修复：恢复意外删除的修补程序 (#1147983)

- 衍合到 2.4.40 (#1147983)

- 修复：使 /etc/openldap/check_password.conf 可供 ldap 读取 (#1155390)

- 恢复之前的修补程序 (#1172296)

- 修复：处理 SRV 记录时 ldap_domain2hostlist 中发生崩溃 (#1164369)

- 支持 TLS 1.1 和更高版本 (#1160467)

- 增强：添加 ppolicy-check-password (#1155390)

- 修复：防止释放的内存重复使用 (#1172296)

- 修复：提供 shim libldif.so (#1110382)

- 修复：生成服务器证书时删除正确的 tmp 文件 (#1102083)

- 删除未应用的修补程序

- 修复：客户端手册页中的 TLS_REQCERT 文档 (#1027796)

- 检查 %configure 并删除不存在的选项

- 添加衍合时忘记的另一个缺少的修补程序

- 修复：启用动态链接 - smbk5pwd 模块中未解析的符号

- 添加衍合时误删除的缺少的修补程序

- 衍合到 2.4.39 (#923680)

+ 终止许多上游的修补程序，向后移植其余修补程序

+ 在 mdb 中编译

+ 删除自动 slapd.conf -> slapd-config 转换

- 修复：某些具有 rwm 叠加的查询中的段错误 (#1003038)

- 修复：SSL_ForceHandshake 期间死锁 (#996373)

+ 恢复 nss-handshake-threadsafe.patch

解决方案

更新受影响的 openldap / openldap-clients 程序包。

另见

http://www.nessus.org/u?06953aae

插件详情

严重性: Medium

ID: 86216

文件名: oraclevm_OVMSA-2015-0123.nasl

版本: 2.5

类型: local

系列: OracleVM Local Security Checks

发布时间: 2015/10/1

最近更新时间: 2021/1/4

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:oracle:vm:openldap, p-cpe:/a:oracle:vm:openldap-clients, cpe:/o:oracle:vm_server:3.3

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/9/30

漏洞发布日期: 2015/9/11

参考资料信息

CVE: CVE-2015-6908