¿Está la versión 2.4.24 de OpenLDAP en riesgo y en qué sitio debería verificar las vulnerabilidades conocidas con la versión usada?

Question

¿Está la versión 2.4.24 de OpenLDAP en riesgo y en qué sitio debería verificar las vulnerabilidades conocidas con la versión usada?

#1 de Rоry McCune (1 votos)
#2 de Rory Alsop (1 votos)

0

Usamos la versión 2.4.24 de OpenLDAP

$ /usr/local/libexec/slapd -VV
@(#) $OpenLDAP: slapd 2.4.24 (Mar  5 2011 06:36:43) $
        steve@sunblade2500:/bigdisk/SOURCES/S10/openldap-2.4.24/servers/slapd

La versión 2.4.33 de OpenLDAP está actualmente disponible (27.11.2012).

Necesitamos decidir si actualizamos

el experto en OpenLDAP nos dejó
¿Están en nuestra versión las vulnerabilidades de riesgo?
¿hay una buena interfaz web para comprobar $ SOFTWARE_NAME y $ VERSION? y vea las vulnerabilidades conocidas con puntaje de riesgo.

Encontré enlace pero no puedo filtrar por número de versión.

risk-analysis known-vulnerabilities cve vulnerability-management ldap

pregunta Ivanov 27.11.2012 - 13:06

fuente

2 respuestas

1

La funcionalidad de búsqueda en cvedetails.com le permite buscar en la versión, pero la salida no es muy útil.

Su mejor apuesta con el sitio es probablemente simplemente tomar la página a la que se vinculó y pasar por grep para 2.4.24 para obtener las vulnerabilidades asociadas.

respondido por el Rory Alsop 27.11.2012 - 14:20

fuente

Lea otras preguntas en las etiquetas risk-analysis known-vulnerabilities cve vulnerability-management ldap

Proteja los recursos de la base de datos de entradas de datos falsos a través de formularios web ¿Es la actualización del navegador un sitio legítimo?

score 1 · Accepted Answer

Desde El registro de cambios de OpenLDAP parece que su versión actual es de febrero de 2011 (OpenLDAP 2.4.24 Lanzamiento (2011/02/10)), por lo que se usa el cuadro en el sitio de detalles de CVE puedes ver que hay 6 vulnerabilidades en 2011 y 2012 juntos.

La calificación más alta de CVSS para cualquiera de ellos es CVE-2011-1025 en 6.8, que parece como podría ser un poco desagradable dependiendo de lo que almacenes en tu LDAP informe de error aquí .

Por lo tanto, diría que sería mejor mirar a través de las otras 5 vulnerabilidades, para ver si afectan su instalación y, de ser así, cuánto. Después de eso, se trata de sopesar el riesgo de que los problemas se exploten frente a los riesgos que plantea la actualización ...