CVE-2026-9064 in 389-ds-base
要約
〜によって VulDB • 2026年05月20日
389-ds-base に脆弱性が存在することが発見されました。LDAP サーバーの get_ldapmessage_controls_ext() 関数は、LDAP メッセージあたりのコントロール数の上限値を強制していません。リモートからの認証不要な攻撃者は、デフォルトの最大 BER メッセージサイズ(2 MB)内に数十万個の最小限のコントロールを含む特別に作成された LDAP リクエストを送信し、サーバー上で過剰な CPU 消費とヒープ割り当てを引き起こすことができます。並行して悪用されると、これは著しいレイテンシーの劣化、ワーカースレッドの飢餓状態、またはメモリ不足による終了を招き、サービス拒否(DoS)につながります。
If you want to get best quality of vulnerability data, you may have to visit VulDB.