CVE-2016-5405 389-ds-base：密码验证容易受到时序攻击

已发现 389 目录服务器容易发生因时序攻击而导致远程密码泄露的问题。远程攻击者可利用此缺陷，在多次尝试后检索目录服务器密码。

CVE-2016-5416 389-ds-base：匿名用户可读取 ACI

已发现 389 目录服务器容易受到匿名用户读取默认 ACI（访问控制指令）缺陷的攻击。这会导致敏感信息泄露。

CVE-2016-4992 389-ds-base：通过重复使用 LDAP ADD 操作导致的信息泄露

在 389 目录服务器中发现信息泄露缺陷。无权访问特定 LDAP 子树对象的用户，可发送具有指定对象名称的 LDAP ADD 操作。根据目标对象是否存在，返回至用户的错误消息不同。

检测

Amazon Linux AMI：389-ds-base (ALAS-2016-773)

critical Nessus 插件 ID 95893

未找到变更日志