Неавторизованный доступ в 'login_ldap' для BSD систем

Сообщается, что login_ldap может предоставить доступ удаленным пользователям к систему, в которой включена инструкция 'allow bind_anon_cred' в 'slapd.conf' файле. Согласно сообщению, есть некоторые LDAP приложения, которые генерируют незаверенный bind запрос, вместо заверенного запроса. Если удаленный пользователь запускает одно из этих затронутых приложений, login_ldap может предоставить пользовательский доступ, если не был представлен пароль. Определенное воздействие зависит от затронутого приложения.

В OpenLDAP 2.0.x, следующие операции ведут к анонимному bind по умолчанию:

• BIND с DN, но без обеспеченного пароля (bind_anon_dn)
• BIND без DN но с паролем (bind_anon_dn)
• BIND без DN и без пароля (bind_anon)

Уязвимость обнаружена в login_ldap 3.2 и более ранних версиях (до 1.16) и устранена в 3.3