PT-2022-2707 · Openldap+6 · Openldap+6
Jacek Konieczny
·
Publicado
2022-03-23
·
Atualizado
2025-03-26
·
CVE-2022-29155
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 2.x do OpenLDAP anteriores à 2.5.12
Versões 2.6.x do OpenLDAP anteriores à 2.6.2
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL no backend experimental back-sql do slapd. Essa vulnerabilidade pode ser explorada quando uma instrução SQL especialmente criada é incluída em uma consulta LDAP, permitindo potencialmente que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. A vulnerabilidade ocorre devido à falta de escape adequado durante uma operação de pesquisa LDAP, quando o filtro de pesquisa é processado.
Recomendações
Para versões do OpenLDAP 2.x anteriores à 2.5.12, atualize para a versão 2.5.12 ou posterior.
Para versões do OpenLDAP 2.6.x anteriores à 2.6.2, atualize para a versão 2.6.2 ou posterior.
Como solução temporária, considere restringir o acesso ao backend back-sql para minimizar o risco de exploração.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Openldap
Red Os
Suse
Ubuntu