PT-2021-24339 · Unknown+3 · Python-Ldap+3
Encukou
·
Publicado
2021-11-29
·
Atualizado
2023-08-08
·
CVE-2021-46823
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do python-ldap anteriores à 3.4.0
Descrição:
O problema está relacionado a uma falha de negação de serviço por expressão regular (ReDoS) no analisador de esquemas LDAP. Ao enviar uma entrada de expressão regular manipulada, um invasor remoto autenticado poderia explorar essa vulnerabilidade para causar uma condição de negação de serviço. Isso ocorre quando
ldap.schema é usado para definições de esquemas não confiáveis.Recomendações:
Para versões anteriores à 3.4.0, como solução temporária, considere verificar se há uma quantidade excessiva de barras invertidas nas entradas de esquemas, já que mais de uma dúzia de barras invertidas por linha é atípico.
Atualize para a versão 3.4.0 ou posterior, que contém uma solução para impedir ataques ReDoS, rejeitando definições de esquema com uma quantidade excessiva de barras invertidas.
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Linuxmint
Ubuntu
Python-Ldap