Dear maintainer, The CVE identifiers in this bug are outstanding for the version in lenny. The attached patch is a proposed NMU to fix this. RT: Please consider the attached for oldstable. There is some .po noise caused by debconf-updatepo being called during the package build. The paches come from upstream's commits via Ubuntu. If there are no objections, I will upload this package in the next couple of days. Thanks, -- Jonathan Wiltshire jmw@debian.org Debian Developer http://people.debian.org/~jmw 4096R: 0xD3524C51 / 0A55 B7C5 1223 3942 86EC 74C3 5394 479D D352 4C51
diff -u openldap-2.4.11/debian/changelog openldap-2.4.11/debian/changelog --- openldap-2.4.11/debian/changelog +++ openldap-2.4.11/debian/changelog @@ -1,3 +1,12 @@ +openldap (2.4.11-1+lenny2.1) oldstable; urgency=low + + * Non-maintainer upload. + * Backport security fixes: (Closes: #617606) + - CVE-2011-1024 Authentication bypass in back-ldap + - CVE-2011-1081 DoS in modrdn operation + + -- Jonathan Wiltshire <jmw@debian.org> Mon, 25 Jul 2011 13:40:32 +0100 + openldap (2.4.11-1+lenny2) stable-security; urgency=high * Fixes CVE-2010-0211 and CVE-2010-0212 diff -u openldap-2.4.11/debian/po/gl.po openldap-2.4.11/debian/po/gl.po --- openldap-2.4.11/debian/po/gl.po +++ openldap-2.4.11/debian/po/gl.po @@ -10,6 +10,7 @@ "PO-Revision-Date: 2008-05-08 20:39+0100\n" "Last-Translator: Jacobo Tarrio <jtarrio@debian.org>\n" "Language-Team: Galician <proxecto@trasno.net>\n" +"Language: gl\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/ja.po openldap-2.4.11/debian/po/ja.po --- openldap-2.4.11/debian/po/ja.po +++ openldap-2.4.11/debian/po/ja.po @@ -19,6 +19,7 @@ "PO-Revision-Date: 2008-05-09 11:50+0900\n" "Last-Translator: Kenshi Muto <kmuto@debian.org>\n" "Language-Team: Japanese <debian-japanese@lists.debian.org>\n" +"Language: ja\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/fi.po openldap-2.4.11/debian/po/fi.po --- openldap-2.4.11/debian/po/fi.po +++ openldap-2.4.11/debian/po/fi.po @@ -6,6 +6,7 @@ "PO-Revision-Date: 2008-04-09 20:55+0200\n" "Last-Translator: Esko Arajärvi <edu@iki.fi>\n" "Language-Team: Finnish <debian-l10n-finnish@lists.debian.org>\n" +"Language: fi\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/nl.po openldap-2.4.11/debian/po/nl.po --- openldap-2.4.11/debian/po/nl.po +++ openldap-2.4.11/debian/po/nl.po @@ -19,6 +19,7 @@ "PO-Revision-Date: 2008-05-08 12:42+0100\n" "Last-Translator: Bart Cornelis <cobaco@skolelinux.no>\n" "Language-Team: debian-l10n-dutch <debian-l10n-dutch@lists.debian.org>\n" +"Language: \n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=utf-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/sv.po openldap-2.4.11/debian/po/sv.po --- openldap-2.4.11/debian/po/sv.po +++ openldap-2.4.11/debian/po/sv.po @@ -11,6 +11,7 @@ "PO-Revision-Date: 2008-07-28 18:16+0200\n" "Last-Translator: Martin Ågren <martin.agren@gmail.com>\n" "Language-Team: Swedish <debian-l10n-swedish@lists.debian.org>\n" +"Language: sv\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/cs.po openldap-2.4.11/debian/po/cs.po --- openldap-2.4.11/debian/po/cs.po +++ openldap-2.4.11/debian/po/cs.po @@ -19,6 +19,7 @@ "PO-Revision-Date: 2008-05-08 11:22+0200\n" "Last-Translator: Miroslav Kure <kurem@debian.cz>\n" "Language-Team: Czech <debian-l10n-czech@lists.debian.org>\n" +"Language: cs\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/pt.po openldap-2.4.11/debian/po/pt.po --- openldap-2.4.11/debian/po/pt.po +++ openldap-2.4.11/debian/po/pt.po @@ -12,6 +12,7 @@ "PO-Revision-Date: 2008-05-12 21:10+0100\n" "Last-Translator: Tiago Fernandes <tjg.fernandes@gmail.com>\n" "Language-Team: Portuguese <traduz@debianpt.org>\n" +"Language: pt\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=utf-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/de.po openldap-2.4.11/debian/po/de.po --- openldap-2.4.11/debian/po/de.po +++ openldap-2.4.11/debian/po/de.po @@ -10,6 +10,7 @@ "PO-Revision-Date: 2008-02-14 20:32+0100\n" "Last-Translator: Helge Kreutzmann <debian@helgefjell.de>\n" "Language-Team: de <debian-l10n-german@lists.debian.org>\n" +"Language: \n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=ISO-8859-15\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/es.po openldap-2.4.11/debian/po/es.po --- openldap-2.4.11/debian/po/es.po +++ openldap-2.4.11/debian/po/es.po @@ -37,6 +37,7 @@ "PO-Revision-Date: 2008-01-13 00:52-0800\n" "Last-Translator: Steve Langasek <vorlon@debian.org>\n" "Language-Team: Debian l10n Spanish <debian-l10n-spanish@lists.debian.org>\n" +"Language: \n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=utf-8\n" "Content-Transfer-Encoding: 8bit\n" @@ -171,8 +172,8 @@ "La configuración que ha introducido no es válida. Asegúrese de que el nombre " "de dominio del DNS tiene una sintáxis válida, la organización no está en " "blanco y las claves del administrador coinciden. El servidor LDAP quedará " -"sin configurar si decide no volver a intentar la configuración. Ejecute «dpkg-" -"reconfigure slapd» si desea volver a intentarlo después." +"sin configurar si decide no volver a intentar la configuración. Ejecute " +"«dpkg-reconfigure slapd» si desea volver a intentarlo después." #. Type: string #. Description diff -u openldap-2.4.11/debian/po/pt_BR.po openldap-2.4.11/debian/po/pt_BR.po --- openldap-2.4.11/debian/po/pt_BR.po +++ openldap-2.4.11/debian/po/pt_BR.po @@ -14,6 +14,7 @@ "PO-Revision-Date: 2008-05-08 10:00-0300\n" "Last-Translator: Eder L. Marques (frolic) <frolic@debian-ce.org>\n" "Language-Team: l10n Portuguese <debian-l10n-portuguese@lists.debian.org>\n" +"Language: \n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/da.po openldap-2.4.11/debian/po/da.po --- openldap-2.4.11/debian/po/da.po +++ openldap-2.4.11/debian/po/da.po @@ -19,6 +19,7 @@ "PO-Revision-Date: 2006-05-13 10:30+0200\n" "Last-Translator: Claus Hindsgaul <claus.hindsgaul@gmail.com>\n" "Language-Team: Danish\n" +"Language: \n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=ISO-8859-1\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/vi.po openldap-2.4.11/debian/po/vi.po --- openldap-2.4.11/debian/po/vi.po +++ openldap-2.4.11/debian/po/vi.po @@ -10,6 +10,7 @@ "PO-Revision-Date: 2008-05-09 00:24+0930\n" "Last-Translator: Clytie Siddall <clytie@riverland.net.au>\n" "Language-Team: Vietnamese <vi-VN@googlegroups.com>\n" +"Language: vi\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" @@ -76,10 +77,10 @@ "the new version is incompatible with the old database format and it needs to " "be reimported. If you select \"never\", no dump will be done." msgstr "" -"Chọn mục « luôn luôn » thì gây ra các cơ sở dữ liệu bị đổ một cách không điều " -"kiện trước khi nâng cấp. Chọn « khi cần thiết » thì chỉ đổ cơ sở dữ liệu nếu " -"phiên bản mới không tương thích với định dạng cơ sở dữ liệu cũ và cần phải " -"nhập lại nó. Còn chọn « không bao giờ » thì không đổ gì." +"Chọn mục « luôn luôn » thì gây ra các cơ sở dữ liệu bị đổ một cách không " +"điều kiện trước khi nâng cấp. Chọn « khi cần thiết » thì chỉ đổ cơ sở dữ " +"liệu nếu phiên bản mới không tương thích với định dạng cơ sở dữ liệu cũ và " +"cần phải nhập lại nó. Còn chọn « không bao giờ » thì không đổ gì." #. Type: string #. Description @@ -101,8 +102,8 @@ "Ghi rõ tên thư mục vào đó cần xuất các cơ sở dữ liệu LDAP. Trong thư mục này " "thì tạo vài tập tin LDIF mà tương ứng với những cơ bản tìm kiếm nằm trên máy " "phục vụ. Hãy kiểm tra xem vẫn có đủ chỗ rỗng trong phân vùng đó. Lần đầu " -"tiên gặp chuỗi « VERSION » (phiên bản) thì được thay thế bằng phiên bản từ đó " -"bạn đang nâng cấp." +"tiên gặp chuỗi « VERSION » (phiên bản) thì được thay thế bằng phiên bản từ " +"đó bạn đang nâng cấp." #. Type: boolean #. Description @@ -164,8 +165,8 @@ "dc=example, dc=org' as base DN." msgstr "" "Tên miền DNS được dùng để cấu trúc tên miền cơ bản của thư mục LDAP. Chẳng " -"hạn, « foo.thí_dụ.org » sẽ tạo thư mục có « dc=foo, dc=thí_dụ, dc=org » là tên " -"miền cơ bản." +"hạn, « foo.thí_dụ.org » sẽ tạo thư mục có « dc=foo, dc=thí_dụ, dc=org » là " +"tên miền cơ bản." #. Type: string #. Description @@ -245,8 +246,8 @@ msgstr "" "Giao thức LDAPv2 (phiên bản 2) quá cũ bị tắt theo mặc định trong slapd. Các " "chương trình và người dùng đều nên nâng cấp lên LDAPv3 (phiên bản 3). Có " -"chương trình cũ không thể dùng LDAPv3 thì bạn nên bật tùy chọn này và chuỗi « " -"allow bind_v2 » sẽ được thêm vào tập tin cấu hình « slapd.conf »." +"chương trình cũ không thể dùng LDAPv3 thì bạn nên bật tùy chọn này và chuỗi " +"« allow bind_v2 » sẽ được thêm vào tập tin cấu hình « slapd.conf »." #. Type: boolean #. Description @@ -264,8 +265,8 @@ "want to back up and abandon the current database." msgstr "" "Bạn đã ghi rõ một hậu tố thư mục (miền) không khớp với điều hiện thời được " -"ghi trong tập tin cấu hình « /etc/ldap/slapd.conf ». Việc thay đổi hậu tố thư " -"mục cần thiết di chuyển cơ sở dữ liệu LDAP hiện thời ra rồi tạo một điều " +"ghi trong tập tin cấu hình « /etc/ldap/slapd.conf ». Việc thay đổi hậu tố " +"thư mục cần thiết di chuyển cơ sở dữ liệu LDAP hiện thời ra rồi tạo một điều " "mới. Hãy xác nhận nếu bạn muốn sao lưu và hủy cơ sở dữ liệu hiện thời không." #. Type: error @@ -288,8 +289,8 @@ "be caused by an incorrect configuration file (for example, missing " "'moduleload' lines to support the backend database)." msgstr "" -"Chương trình « slapcat » bị lỗi trong khi giải nén mục LDAP. Có lẽ do tập tin " -"cấu hình sai (v.d. thiếu dòng « moduleload » để hỗ trợ cơ sở dữ liệu hậu " +"Chương trình « slapcat » bị lỗi trong khi giải nén mục LDAP. Có lẽ do tập " +"tin cấu hình sai (v.d. thiếu dòng « moduleload » để hỗ trợ cơ sở dữ liệu hậu " "phương)." #. Type: error @@ -304,9 +305,10 @@ "slapcat to fail, and run:" msgstr "" "Sự thất bại này sẽ cũng gây ra tiến trình « slapadd » thất bại về sau. Các " -"tập tin cơ sở dữ liệu cũ sẽ được di chuyển vào thư mục « /var/backups ». Muốn " -"thử lại tiến trình nâng cấp thì bạn nên di chuyển các tập tin cơ sở dữ liệu " -"cũ về nơi gốc, sửa chữa trường hợp gây ra slapcat bị lỗi, rồi chạy lệnh này:" +"tập tin cơ sở dữ liệu cũ sẽ được di chuyển vào thư mục « /var/backups ». " +"Muốn thử lại tiến trình nâng cấp thì bạn nên di chuyển các tập tin cơ sở dữ " +"liệu cũ về nơi gốc, sửa chữa trường hợp gây ra slapcat bị lỗi, rồi chạy lệnh " +"này:" #. Type: error #. Description @@ -350,8 +352,8 @@ "your needs. See /usr/share/doc/slapd/README.DB_CONFIG.gz for more details." msgstr "" "Trong cả trường hợp, bạn nên xem lại cấu hình cơ sở dữ liệu đã kết quả, kiểm " -"tra nó thích hợp với trường hợp của bạn. Xem tài liệu Đọc Đi « /usr/share/doc/" -"slapd/README.DB_CONFIG.gz » để tìm chi tiết." +"tra nó thích hợp với trường hợp của bạn. Xem tài liệu Đọc Đi « /usr/share/" +"doc/slapd/README.DB_CONFIG.gz » để tìm chi tiết." #. Type: error #. Description diff -u openldap-2.4.11/debian/po/fr.po openldap-2.4.11/debian/po/fr.po --- openldap-2.4.11/debian/po/fr.po +++ openldap-2.4.11/debian/po/fr.po @@ -11,6 +11,7 @@ "PO-Revision-Date: 2008-03-10 19:56+0100\n" "Last-Translator: Christian Perrier <bubulle@debian.org>\n" "Language-Team: French <debian-l10n-french@lists.debian.org>\n" +"Language: fr\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" @@ -78,12 +79,12 @@ "the new version is incompatible with the old database format and it needs to " "be reimported. If you select \"never\", no dump will be done." msgstr "" -"Si vous choisissez l'option « Toujours », les données seront systématiquement " -"exportées avant une mise à niveau. Si vous choisissez « Lorsque nécessaire », " -"elles ne seront exportées que lorsque la nouvelle version utilisera un " -"format incompatible avec l'ancienne, ce qui imposera de réimporter les " -"données. Si vous choisissez « Jamais », les données ne seront jamais " -"exportées." +"Si vous choisissez l'option « Toujours », les données seront " +"systématiquement exportées avant une mise à niveau. Si vous choisissez " +"« Lorsque nécessaire », elles ne seront exportées que lorsque la nouvelle " +"version utilisera un format incompatible avec l'ancienne, ce qui imposera de " +"réimporter les données. Si vous choisissez « Jamais », les données ne seront " +"jamais exportées." #. Type: string #. Description @@ -409,8 +410,8 @@ "used, which has been changed from OpenSSL to GnuTLS. As a result, your " "existing TLSCipherSuite setting will not work with this package." msgstr "" -"L'option « TLSCipherSuite » a été trouvée dans le fichier de configuration de " -"slapd lors de la mise à niveau. Les valeurs possibles pour cette option " +"L'option « TLSCipherSuite » a été trouvée dans le fichier de configuration " +"de slapd lors de la mise à niveau. Les valeurs possibles pour cette option " "dépendent de l'implémentation de SSL qui est utilisée. Comme OpenSSL a été " "remplacé par GnuTLS, les réglages actuels de « TLSCipherSuite » ne " "fonctionnent plus avec cette version du paquet." diff -u openldap-2.4.11/debian/po/ru.po openldap-2.4.11/debian/po/ru.po --- openldap-2.4.11/debian/po/ru.po +++ openldap-2.4.11/debian/po/ru.po @@ -19,12 +19,13 @@ "PO-Revision-Date: 2008-05-11 08:49+0400\n" "Last-Translator: Yuri Kozlov <kozlov.y@gmail.com>\n" "Language-Team: Russian <debian-l10n-russian@lists.debian.org>\n" +"Language: ru\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" "X-Generator: KBabel 1.11.4\n" -"Plural-Forms: nplurals=3; plural=(n%10==1 && n%100!=11 ? 0 : n%10>=2 && n%" -"10<=4 && (n%100<10 || n%100>=20) ? 1 : 2);\n" +"Plural-Forms: nplurals=3; plural=(n%10==1 && n%100!=11 ? 0 : n%10>=2 && n" +"%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2);\n" #. Type: boolean #. Description diff -u openldap-2.4.11/debian/po/eu.po openldap-2.4.11/debian/po/eu.po --- openldap-2.4.11/debian/po/eu.po +++ openldap-2.4.11/debian/po/eu.po @@ -11,6 +11,7 @@ "PO-Revision-Date: 2008-05-08 16:41+0200\n" "Last-Translator: Piarres Beobide <pi@beobide.net>\n" "Language-Team: Euskara <debian-l10n-basque@lists.debian.org>\n" +"Language: \n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/po/it.po openldap-2.4.11/debian/po/it.po --- openldap-2.4.11/debian/po/it.po +++ openldap-2.4.11/debian/po/it.po @@ -11,6 +11,7 @@ "PO-Revision-Date: 2008-04-22 21:55+0200\n" "Last-Translator: Luca Monducci <luca.mo@tiscali.it>\n" "Language-Team: Italian <debian-l10n-italian@lists.debian.org>\n" +"Language: it\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" diff -u openldap-2.4.11/debian/patches/series openldap-2.4.11/debian/patches/series --- openldap-2.4.11/debian/patches/series +++ openldap-2.4.11/debian/patches/series @@ -14,0 +15,2 @@ +CVE-2011-1024 +CVE-2011-1081 only in patch2: unchanged: --- openldap-2.4.11.orig/debian/patches/CVE-2011-1024 +++ openldap-2.4.11/debian/patches/CVE-2011-1024 @@ -0,0 +1,44 @@ +Origin: cvs PatchSet 24620 from OPENLDAP_REL_ENG_2_4 +Description: fix successful anonymous bind via chain overlay when using + forwarded authentication failures +Bug: http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6607 + +Index: openldap-2.4.23/servers/slapd/back-ldap/chain.c +=================================================================== +--- openldap-2.4.23.orig/servers/slapd/back-ldap/chain.c 2011-03-16 09:21:55.000000000 -0500 ++++ openldap-2.4.23/servers/slapd/back-ldap/chain.c 2011-03-16 09:22:02.000000000 -0500 +@@ -854,6 +854,7 @@ + + /* we need this to know if back-ldap returned any result */ + lb.lb_lc = lc; ++ sc2.sc_next = sc->sc_next; + sc2.sc_private = &lb; + sc2.sc_response = ldap_chain_cb_response; + op->o_callback = &sc2; +@@ -947,6 +948,7 @@ + + case LDAP_SUCCESS: + case LDAP_REFERRAL: ++ sr_err = rs->sr_err; + /* slapd-ldap sent response */ + if ( !op->o_abandon && lb.lb_status != LDAP_CH_RES ) { + /* FIXME: should we send response? */ +@@ -974,7 +976,7 @@ + default: + #endif /* LDAP_CONTROL_X_CHAINING_BEHAVIOR */ + if ( LDAP_CHAIN_RETURN_ERR( lc ) ) { +- rs->sr_err = rc; ++ sr_err = rs->sr_err = rc; + rs->sr_type = sr_type; + + } else { +@@ -992,7 +994,8 @@ + } + + if ( lb.lb_status == LDAP_CH_NONE && rc != SLAPD_ABANDON ) { +- op->o_callback = NULL; ++ /* give the remaining callbacks a chance */ ++ op->o_callback = sc->sc_next; + rc = rs->sr_err = slap_map_api2result( rs ); + send_ldap_result( op, rs ); + } only in patch2: unchanged: --- openldap-2.4.11.orig/debian/patches/CVE-2011-1081 +++ openldap-2.4.11/debian/patches/CVE-2011-1081 @@ -0,0 +1,21 @@ +Origin: cvs PatchSet 24550 from OPENLDAP_REL_ENG_2_4 +Description: fix DoS when processing unauthenticated modrdn requests and + requestDN is empty +Bug: http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6768 +Bug-Novell: https://bugzilla.novell.com/show_bug.cgi?id=674985#c1 + +Index: openldap-2.4.23/servers/slapd/modrdn.c +=================================================================== +--- openldap-2.4.23.orig/servers/slapd/modrdn.c 2011-03-16 09:44:03.000000000 -0500 ++++ openldap-2.4.23/servers/slapd/modrdn.c 2011-03-16 09:44:07.000000000 -0500 +@@ -392,7 +392,9 @@ + LDAPRDN new_rdn = NULL; + + assert( !BER_BVISEMPTY( &op->oq_modrdn.rs_newrdn ) ); +- assert( !op->orr_deleteoldrdn || !BER_BVISEMPTY( &op->o_req_dn ) ); ++ ++ /* if requestDN is empty, silently reset deleteOldRDN */ ++ if ( BER_BVISEMPTY( &op->o_req_dn ) ) op->orr_deleteoldrdn = 0; + + if ( ldap_bv2rdn_x( &op->oq_modrdn.rs_newrdn, &new_rdn, + (char **)&rs->sr_text, LDAP_DN_FORMAT_LDAP, op->o_tmpmemctx ) ) {
Attachment:
signature.asc
Description: Digital signature