Bug 51361 - Для закрытия CVE-2024-28820 нужно пропатчить openvpn-cr.c (пакет openvpn-auth-ldap)
Summary: Для закрытия CVE-2024-28820 нужно пропатчить openvpn-cr.c (пакет openvpn-auth...
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: openvpn-auth-ldap (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 critical
Assignee: bne@altlinux.org
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-09-02 02:50 MSK by dfpl
Modified: 2024-09-14 18:25 MSK (History)
2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description dfpl 2024-09-02 02:50:37 MSK 
Совсем свежая ошибка, позволяющая вызвать выход за границы буфера, предназначенного для записи (см. патч).
Рекомендуется отслеживать попытки необычного входа в систему, и ограничить число попыток входа, если пакет ещё не обновлён.
Исправил отдельным коммитом: 
http://git.altlinux.ru/people/dfpl/packages/?p=openvpn-auth-ldap.git;a=commit;h=cd7bb66bd7734fa9669879c4aa9b244e760772bc
Comment 1 Repository Robot 2024-09-14 18:20:35 MSK 
openvpn-auth-ldap-2.0.4-alt4 -> sisyphus:

 Sat Sep 14 2024 Nikolay Burykin <bne@altlinux> 2.0.4-alt4
 - Fix for buffer overflow in extract_openvpn_cr() (CVE-2024-28820) (ALT #51361)
Comment 2 Nikolay Burykin 2024-09-14 18:25:45 MSK 
Спасибо за патч. Забрал)
https://packages.altlinux.org/ru/tasks/357560/

p.s. Поле Packager давно не актуально, поэтому из спека было убрано.