python-ldap 拒绝服务漏洞（CVE-2021-46823）

admin

0
文章

0
评论

2023-11-30 07:17:43 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 python-ldap 拒绝服务漏洞（CVE-2021-46823）

CVE编号

CVE-2021-46823

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-06-19

漏洞描述

python-ldap是python-ldap开源的一个用于 Python 的 LDAP 客户端 API。 python-ldap 3.4.0之前版本存在拒绝服务漏洞，该漏洞源于 LDAP 模式解析器中存在正则表达式拒绝服务 (ReDoS) 缺陷。攻击者利用该漏洞通过发送特制的正则表达式输入导致拒绝服务。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/python-ldap/python-ldap/security/advisories/GHSA-r8wq-qrxc-hmcm

参考链接
https://exchange.xforce.ibmcloud.com/vulnerabilities/221507
https://github.com/python-ldap/python-ldap/security/advisories/GHSA-r8wq-qrxc-hmcm

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	python-ldap	python-ldap	*		Up to (excluding) 3.4.0
	运行在以下环境
	系统	debian_10	python-ldap	*		Up to (including) 3.1.0-2
	运行在以下环境
	系统	debian_11	python-ldap	*		Up to (including) 3.2.0-4
	运行在以下环境
	系统	debian_12	python-ldap	*		Up to (excluding) 3.4.0-1
	运行在以下环境
	系统	debian_9	python-ldap	*		Up to (including) 2.4.28-0.1
	运行在以下环境
	系统	debian_sid	python-ldap	*		Up to (excluding) 3.4.0-1
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	python-ldap-help	*		Up to (excluding) 3.1.0-4.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	python-ldap-help	*		Up to (excluding) 3.1.0-4.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP1	python-ldap-help	*		Up to (excluding) 3.1.0-4.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	python-ldap-help	*		Up to (excluding) 3.1.0-4.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	python-ldap-help	*		Up to (excluding) 3.1.0-4.ky10
	运行在以下环境
	系统	ubuntu_18.04	python-ldap	*		Up to (excluding) 3.0.0-1ubuntu0.2
	运行在以下环境
	系统	ubuntu_20.04	python-ldap	*		Up to (excluding) 3.2.0-4ubuntu2.1
	运行在以下环境
	系统	ubuntu_21.10	python-ldap	*		Up to (excluding) 3.2.0-4ubuntu5.1
	运行在以下环境
	系统	ubuntu_22.04	python-ldap	*		Up to (excluding) 3.2.0-4ubuntu7.1