预警编号：PowerLeader-sa-20201213-01-ldap

初始发布时间： 2020-12-13

更新发布时间： 2020-12-13

漏洞概述

宝德部分产品作为LDAP客户端存在一个资源管理错误漏洞。一个未经认证的远程攻击者控制LDAP服务器使其对于客户端发的请求不正确响应。由于客户端对于LDAP连接资源管理不恰当，成功利用这个漏洞可以导致受影响设备资源耗尽。

影响后果

攻击者可以利用此漏洞导致受影响设备资源耗尽。

漏洞得分

漏洞使用CVSSv3计分系统进行分级（http://www.first.org/cvss/specification-document）

基础得分：3.7 (AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)

临时得分：3.5 (E:F/RL:O/RC:C)

技术细节

利用漏洞发起攻击的预置条件：

1、攻击者可以访问受影响设备所在网络；

2、受影响设备配置了LDAP功能；

3、攻击者攻破LDAP服务器。

漏洞详细描述：

一个未经认证的远程攻击者控制LDAP服务器使其对于客户端发的请求不正确响应。由于客户端对于LDAP连接资源管理不恰当，成功利用这个漏洞可以导致受影响设备资源耗尽。

规避措施

无

版本获取路径

用户可以通过宝德400热线获取补丁/更新版本。

漏洞来源

该漏洞由宝德内部测试发现。

更新记录

2020-12-13 V1.0 INITIAL

FAQ

无

后续改善计划

宝德计算机会持续跟进该漏洞的最新动态，请关注宝德计算机官网、官微公告有任何关于此漏洞修复的问题，可以通过以下方式联系我们:

宝德计算机售后咨询热线:4008-870-872

宝德PSIRT邮箱:psirt@powerleadercom.cn

宝德计算机官网:http://www.powerleadercom.cn