Ticket 50251 - clear text passwords visable in CLI verbose mode logging

Bug Description:  If you run any of the CLI tools using "-v", and set a password,
                  that password will be displayed in clear text in the console.

Fix Description:  Create an internal list of sensitive attributes to filter, and
                  mask them in the operation debug logging.  But still allow the
                  password to be seen if you set the env variable DEBUGGING=true

                  We also still print the root DN password if it is a container
                  installation.

https://pagure.io/389-ds-base/issue/50251

Reviewed by: spichugi, firstyear, and mhonek (Thanks!!!)

Gbp-Pq: Name CVE-2019-10224.patch

[PATCH] Issue 50716 - CVE-2019-14824 (BZ#1748199) - deref plugin displays restricted attributes

Bug Description:  If there is an ACI that allows "search" access to an attribute,
                  the deref plugin access control checks sees this is a "read"
                  privilege and returns the attribute's value.

Fix description:  For deref plugin we are only concerned with "read" access, not
                  "search" access.  Removed the SLAPI_ACL_SEARCH right flag when
                  checking access for an attribute.

relates: https://pagure.io/389-ds-base/issue/50716

Reviewed by: lkrispen & tbordaz(Thanks!)

Gbp-Pq: Name CVE-2019-14824.patch

[PATCH] Issue 4711 - SIGSEV with sync_repl (#4738)

Bug description:
sync_repl sends back entries identified with a unique
identifier that is 'nsuniqueid'. If 'nsuniqueid' is
missing, then it may crash

Fix description:
Check a nsuniqueid is available else returns OP_ERR

relates: https://github.com/389ds/389-ds-base/issues/4711

Reviewed by: Pierre Rogier, James Chapman, William Brown (Thanks!)

Platforms tested:  F33

Gbp-Pq: Name CVE-2021-3514.patch

[PATCH] Issue 4817 - BUG - locked crypt accounts on import may allow all passwords (#4819)

Bug Description: Due to mishanding of short dbpwd hashes, the
crypt_r algorithm was misused and was only comparing salts
in some cases, rather than checking the actual content
of the password.

Fix Description: Stricter checks on dbpwd lengths to ensure
that content passed to crypt_r has at least 2 salt bytes and
1 hash byte, as well as stricter checks on ct_memcmp to ensure
that compared values are the same length, rather than potentially
allowing overruns/short comparisons.

fixes: https://github.com/389ds/389-ds-base/issues/4817

Author: William Brown <william@blackhats.net.au>

Review by: @mreynolds389

Gbp-Pq: Name CVE-2021-3652.patch

[PATCH] Issue 5418 - Sync_repl may crash while managing invalid cookie (#5420)

Bug description:
        If the servers receives an invalid cookie without separator '#',
        it parses it into an empty cookie (Sync_Cookie) instead of a NULL
        cookie (failure).
        Later it sigsegv when using the empty cookie.

Fix description:
        If the parsing fails return NULL

relates: #5418

Reviewed by: Viktor Ashirov, Mark Reynolds, William Brown, Simon Pichugin (thanks !)

Gbp-Pq: Name CVE-2022-2850.patch

[PATCH] Issue 5221 - User with expired password can still login with full privledges

Bug Description:

A user with an expired password can still login and perform operations
with its typical access perimssions.  But an expired password means the
account should be considered anonymous.

Fix Description:

Clear the bind credentials if the password is expired

relates: https://github.com/389ds/389-ds-base/issues/5221

Reviewed by: progier(Thanks!)

Gbp-Pq: Name CVE-2022-0996.patch

[PATCH] Issue 5242- Craft message may crash the server (#5243)

Bug description:
A craft request can result in DoS

Fix description:
If the server fails to decode the ber value
then return an Error

relates: 5242

Reviewed by: Pierre Rogier, Mark Reynolds (thanks !)

Platforms tested:  F34

Gbp-Pq: Name CVE-2022-0918.patch

[PATCH] Issue 5218 - double-free of the virtual attribute context in persistent search (#5219)

description:
A search is processed by a worker using a private pblock.
If the search is persistent, the worker spawn a thread
and kind of duplicate its private pblock so that the spawn
        thread continue to process the persistent search.
Then worker ends the initial search, reinit (free) its private pblock,
        and returns monitoring the wait_queue.
When the persistent search completes, it frees the duplicated
pblock.
The problem is that private pblock and duplicated pblock
        are referring to a same structure (pb_vattr_context).
        That can lead to a double free

Fix:
When cloning the pblock (slapi_pblock_clone) make sure
to transfert the references inside the original (private)
pblock to the target (cloned) one
        That includes pb_vattr_context pointer.

Reviewed by: Mark Reynolds, James Chapman, Pierre Rogier (Thanks !)

Co-authored-by: Mark Reynolds <mreynolds@redhat.com>
Gbp-Pq: Name CVE-2021-4091.patch

fix-nss-path

Gbp-Pq: Name fix-nss-path.diff

Use pkg-config to detect icu, since icu-config is deprecated

Bug: https://pagure.io/389-ds-base/issue/50067
Bug-Debian: https://bugs.debian.org/916115
Forwarded: https://pagure.io/389-ds-base/pull-request/50111
Last-Update: 2018-12-28

and will be removed from Debian

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

Fix the path to systemctl binary

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.21-1+deb10u1) buster-security; urgency=medium

  * Non-maintainer upload by the LTS Security Team.
  * CVE-2021-4091: double free of the virtual attribute context in
                   persistent search.
  * CVE-2022-0918: an unauthenticated attacker with network access to
                   the LDAP port
                   can cause a denial of service.
  * CVE-2022-0996: expired password was still allowed to access the database.
  * CVE-2022-2850: possible NULL pointer dereference leading to a denial of
                   service.
  * CVE-2021-3652: importing an asterisk as password hashes enables successful
                   authentication with any password, allowing attackers to
                   access accounts with disabled passwords.
  * CVE-2021-3514: an authenticated attacker can crash 389-ds-base using a
                   specially crafted query in sync_repl client, due to a NULL
                   pointer dereference.
  * CVE-2019-14824:deref plugin vulnerability lets authenticated attackers
                   access private attributes, like password hashes, using the
                   'search' permission.
  * CVE-2019-10224:vulnerability that may disclose sensitive information,
                   including the Directory Manager password, when executing
                   dscreate and dsconf commands in verbose mode.and dsconf
                   commands in verbose mode and recording the terminal standard
                   error output.
  * CVE-2019-3883: SSL/TLS requests do not enforce ioblocktimeout limit, leading
                   to DoS vulnerability by hanging all workers with hanging LDAP
                   requests.

[dgit import unpatched 389-ds-base 1.4.0.21-1+deb10u1]

Import 389-ds-base_1.4.0.21-1+deb10u1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.21-1+deb10u1 389-ds-base_1.4.0.21-1+deb10u1.debian.tar.xz]

Import 389-ds-base_1.4.0.21.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.0.21.orig.tar.bz2]