■
11月初旬に公開されたOpenLDAP(CVE-2006-5779)に関する脆弱性、コレに対するerrataが、いまだRed Hat Network(RHN)から提供されていません。
本脆弱性は、特殊に加工されたBINDリクエストを受信した場合にデーモンが停止するといった内容で、既にexploitコードも公開されている。
本脆弱性は、OpenLDAPの2.3.29で修正されている。
Red Hat Enterplise Linux 4(RHEL4)には、OpenLDAPの2.2系が採用されているから影響すると思うのだが。
Red Hatは、他のディストリビューションに比べ、errataの提供が早いと思っていたが、この件に関しては、SUSEにも遅れを取っている。
ちょちょいと数行修正するだけじゃねーかとか言ってみるw
しかし、脆弱性に対する修正やテストはどういったプロセスで行われているのだろうか。
何にしろ、まずは本脆弱性に対するRed Hatの対応状況が知りたい。
- RHELに影響する、または、しない。
- 現在のステータス(テスト中、リリース済み)
といった情報は見れないのだろうか。
どなたか対応状況が分かる方法をご存知でしたら教えてください。
ちなみに、CVEに関するリリース済みのerrataを見つける方法はあります。
RHNにログインした後、以下のURLにアクセスします。
errataが存在する場合には、errataへのリンクが表示されます。
https://rhn.redhat.com/cve/
例)CVE-2006-5170の場合
https://rhn.redhat.com/cve/CVE-2006-5170.html
CVE-2006-5779に関する参考情報
OpenLDAPコミュニティ
http://www.openldap.org/its/index.cgi/Software%20Bugs?id=4740
Secunia
http://secunia.com/advisories/22750/
本脆弱性の実証コード:
http://downloads.securityfocus.com/vulnerabilities/exploits/vd_openldap.pm
