[devel] Re: IA: Apache auth_ldap module Multiple Format Strings Vulnerability

Vladimir Lettiev =?iso-8859-1?q?crux_=CE=C1_gorodmasterov=2Ecom?=
Ср Янв 11 21:11:03 MSK 2006


Volkov Serge пишет:
> Владимир буду очень благодарен, если сможете подстарховать
> 
> Так же я думаю, что надо будет провести опрос devel@, чтобы понять какой 
> из модулей для авторизации LDAP оставить, так как этот модуль вроде как 
> почти не развивается последнее время.

А какой такой "другой" модуль? Ок, forward2devel@

> 
> Vladimir Lettiev пишет:
> 
>> http://www.digitalarmaments.com/2006090173928420.html
>>
>> Апстрим выпустил обновление auth_ldap 1.6.1.
>> Вот changelog: http://www.rudedog.org/auth_ldap/Changes.html
>>
>> Необходимо выпустить обновление и для ALM24. Сергей сможете сделать? 
>> или подстраховать вас?

В процессе сборки обновления с удивлением обнаруживаю, что ldap_auth 
после установки на "свежий" апач не работает.

Виной тому, по всей видимости, такой кусок патча для apxs апача 
apache-1.3.31-apxs.patch:

@@ -468,11 +469,13 @@
...
-        push(@lmd, sprintf("LoadModule %-18s %s", "${name}_module", 
"$dir$t"));
...
+        push(@lmd, sprintf("LoadModule %-18s %s", join("_", 
reverse(split("_", ${name}))) . "_module", "modules/$t"));

Из-за использования reverse(), вместо ожидаемой строки в httpd.conf
LoadModule auth_ldap_module   modules/mod_auth_ldap.so
получаем
LoadModule ldap_auth_module   modules/mod_auth_ldap.so

Апач в результате не загружается с таким сообщением:
Starting libhttpd.ep service: Syntax error on line 266 of 
/etc/httpd/conf/httpd.conf:
Can't locate API module structure `ldap_auth_module' in file 
/etc/httpd/modules/mod_auth_ldap.so: 
/etc/httpd/modules/mod_auth_ldap.so: undefined symbol: ldap_auth_module

Changelog апача говорит о каких-то таинственных "problem with 
mod_long_names (by pilot@)". Может кто-нибудь пояснить в чём была 
проблема, для которой создавался этот патч?

-- 
С уважением, Владимир Леттиев aka crux <crux на gorodmasterov.com>



Подробная информация о списке рассылки Devel