La versione 2.4.24 di OpenLDAP è a rischio e quale sito dovrei controllare per le vulnerabilità note con la versione utilizzata?

0

Utilizziamo OpenLDAP versione 2.4.24

$ /usr/local/libexec/slapd -VV
@(#) $OpenLDAP: slapd 2.4.24 (Mar  5 2011 06:36:43) $
        steve@sunblade2500:/bigdisk/SOURCES/S10/openldap-2.4.24/servers/slapd

La versione 2.4.33 di OpenLDAP è attualmente disponibile (27.11.2012).

Dobbiamo decidere se aggiorneremo

  • esperto in OpenLDAP ci ha lasciato
  • sono nella nostra versione vulnerabilità rischiose?
  • c'è una buona interfaccia web per controllare $ SOFTWARE_NAME e $ VERSION e vedere le vulnerabilità note con il punteggio di rischio.

Ho trovato link ma non posso filtrare il numero di versione.

    
posta Ivanov 27.11.2012 - 13:06
fonte

2 risposte

1

Da il log delle modifiche di OpenLDAP sembra che la tua versione attuale sia di febbraio 2011 (OpenLDAP 2.4.24 Release (2011/02/10)), quindi utilizzando il grafico sul sito dei dettagli CVE puoi vedere che ci sono 6 vulns nel 2011 e nel 2012 insieme.

Il punteggio CVSS più alto per ognuno di questi è CVE-2011-1025 a 6,8 che sembra come potrebbe essere un po 'brutto a seconda di ciò che memorizzi nella tua segnalazione di bug qui .

Quindi direi che staresti meglio guardando attraverso gli altri 5 vulns, per vedere se influenzano la tua installazione e, in caso affermativo, quanto. Dopodiché si tratta di valutare il rischio che i problemi vengano sfruttati rispetto ai rischi derivanti dall'aggiornamento ...

    
risposta data 27.11.2012 - 16:01
fonte
1

La funzionalità di ricerca in cvedetails.com ti consente di effettuare ricerche sulla versione, ma l'output non è molto utile.

La tua migliore scommessa con il sito è probabilmente quella di prendere semplicemente la pagina a cui sei collegato e fare il grep per il 2.4.24 per ottenere le vulnerabilità associate.

    
risposta data 27.11.2012 - 14:20
fonte