CVE-2026-9064 in 389-ds-base
Tóm tắt
Bởi VulDB • 20/05/2026
Đã phát hiện một lỗi trong 389-ds-base. Hàm get_ldapmessage_controls_ext() trong máy chủ LDAP không áp đặt giới hạn trên đối với số lượng điều khiển (controls) trên mỗi thông điệp LDAP. Một kẻ tấn công từ xa, chưa được xác thực, có thể gửi một yêu cầu LDAP được tạo đặc biệt chứa hàng trăm nghìn điều khiển tối thiểu trong giới hạn kích thước thông điệp BER mặc định (2 MB), gây ra việc tiêu thụ CPU quá mức và phân bổ bộ nhớ heap trên máy chủ. Khi bị khai thác đồng thời, điều này dẫn đến suy giảm độ trễ đáng kể, tình trạng đói tài nguyên của các luồng công việc (worker thread starvation), hoặc quá trình chấm dứt do hết bộ nhớ (out-of-memory), dẫn đến từ chối dịch vụ (DoS).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.