預(yù)警編號(hào):PowerLeader-sa-20201213-01-ldap
初始發(fā)布時(shí)間: 2020-12-13
更新發(fā)布時(shí)間: 2020-12-13
漏洞概述
寶德部分產(chǎn)品作為LDAP客戶端存在一個(gè)資源管理錯(cuò)誤漏洞。一個(gè)未經(jīng)認(rèn)證的遠(yuǎn)程攻擊者控制LDAP服務(wù)器使其對(duì)于客戶端發(fā)的請(qǐng)求不正確響應(yīng)。由于客戶端對(duì)于LDAP連接資源管理不恰當(dāng),成功利用這個(gè)漏洞可以導(dǎo)致受影響設(shè)備資源耗盡。
影響后果
攻擊者可以利用此漏洞導(dǎo)致受影響設(shè)備資源耗盡。
漏洞得分
漏洞使用CVSSv3計(jì)分系統(tǒng)進(jìn)行分級(jí)(http://www.first.org/cvss/specification-document)
基礎(chǔ)得分:3.7 (AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)
臨時(shí)得分:3.5 (E:F/RL:O/RC:C)
技術(shù)細(xì)節(jié)
利用漏洞發(fā)起攻擊的預(yù)置條件:
1、攻擊者可以訪問(wèn)受影響設(shè)備所在網(wǎng)絡(luò);
2、受影響設(shè)備配置了LDAP功能;
3、攻擊者攻破LDAP服務(wù)器。
漏洞詳細(xì)描述:
一個(gè)未經(jīng)認(rèn)證的遠(yuǎn)程攻擊者控制LDAP服務(wù)器使其對(duì)于客戶端發(fā)的請(qǐng)求不正確響應(yīng)。由于客戶端對(duì)于LDAP連接資源管理不恰當(dāng),成功利用這個(gè)漏洞可以導(dǎo)致受影響設(shè)備資源耗盡。
規(guī)避措施
無(wú)
版本獲取路徑
用戶可以通過(guò)寶德400熱線獲取補(bǔ)丁/更新版本。
漏洞來(lái)源
該漏洞由寶德內(nèi)部測(cè)試發(fā)現(xiàn)。
更新記錄
2020-12-13 V1.0 INITIAL
FAQ
無(wú)
后續(xù)改善計(jì)劃
寶德計(jì)算機(jī)會(huì)持續(xù)跟進(jìn)該漏洞的最新動(dòng)態(tài),請(qǐng)關(guān)注寶德計(jì)算機(jī)官網(wǎng)、官微公告有任何關(guān)于此漏洞修復(fù)的問(wèn)題,可以通過(guò)以下方式聯(lián)系我們:
寶德計(jì)算機(jī)售后咨詢熱線:4008-870-872
寶德PSIRT郵箱:psirt@powerleadercom.cn
寶德計(jì)算機(jī)官網(wǎng):http://www.powerleadercom.cn
寶德服務(wù)器
寶德自強(qiáng)
4008-870-872
點(diǎn)擊咨詢
