[PATCH] Issue 5221 - User with expired password can still login with full privledges

Bug Description:

A user with an expired password can still login and perform operations
with its typical access perimssions.  But an expired password means the
account should be considered anonymous.

Fix Description:

Clear the bind credentials if the password is expired

relates: https://github.com/389ds/389-ds-base/issues/5221

Reviewed by: progier(Thanks!)

Gbp-Pq: Name CVE-2022-0996.patch

[PATCH] Issue 5242- Craft message may crash the server (#5243)

Bug description:
A craft request can result in DoS

Fix description:
If the server fails to decode the ber value
then return an Error

relates: 5242

Reviewed by: Pierre Rogier, Mark Reynolds (thanks !)

Platforms tested:  F34

Gbp-Pq: Name CVE-2022-0918.patch

[PATCH] Issue 5218 - double-free of the virtual attribute context in persistent search (#5219)

description:
A search is processed by a worker using a private pblock.
If the search is persistent, the worker spawn a thread
and kind of duplicate its private pblock so that the spawn
        thread continue to process the persistent search.
Then worker ends the initial search, reinit (free) its private pblock,
        and returns monitoring the wait_queue.
When the persistent search completes, it frees the duplicated
pblock.
The problem is that private pblock and duplicated pblock
        are referring to a same structure (pb_vattr_context).
        That can lead to a double free

Fix:
When cloning the pblock (slapi_pblock_clone) make sure
to transfert the references inside the original (private)
pblock to the target (cloned) one
        That includes pb_vattr_context pointer.

Reviewed by: Mark Reynolds, James Chapman, Pierre Rogier (Thanks !)

Co-authored-by: Mark Reynolds <mreynolds@redhat.com>
Gbp-Pq: Name CVE-2021-4091.patch

fix-nss-path

Gbp-Pq: Name fix-nss-path.diff

Use pkg-config to detect icu, since icu-config is deprecated

Bug: https://pagure.io/389-ds-base/issue/50067
Bug-Debian: https://bugs.debian.org/916115
Forwarded: https://pagure.io/389-ds-base/pull-request/50111
Last-Update: 2018-12-28

and will be removed from Debian

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

Fix the path to systemctl binary

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.21-1+deb10u1) buster-security; urgency=medium

  * Non-maintainer upload by the LTS Security Team.
  * CVE-2021-4091: double free of the virtual attribute context in
                   persistent search.
  * CVE-2022-0918: an unauthenticated attacker with network access to
                   the LDAP port
                   can cause a denial of service.
  * CVE-2022-0996: expired password was still allowed to access the database.
  * CVE-2022-2850: possible NULL pointer dereference leading to a denial of
                   service.
  * CVE-2021-3652: importing an asterisk as password hashes enables successful
                   authentication with any password, allowing attackers to
                   access accounts with disabled passwords.
  * CVE-2021-3514: an authenticated attacker can crash 389-ds-base using a
                   specially crafted query in sync_repl client, due to a NULL
                   pointer dereference.
  * CVE-2019-14824:deref plugin vulnerability lets authenticated attackers
                   access private attributes, like password hashes, using the
                   'search' permission.
  * CVE-2019-10224:vulnerability that may disclose sensitive information,
                   including the Directory Manager password, when executing
                   dscreate and dsconf commands in verbose mode.and dsconf
                   commands in verbose mode and recording the terminal standard
                   error output.
  * CVE-2019-3883: SSL/TLS requests do not enforce ioblocktimeout limit, leading
                   to DoS vulnerability by hanging all workers with hanging LDAP
                   requests.

[dgit import unpatched 389-ds-base 1.4.0.21-1+deb10u1]

Import 389-ds-base_1.4.0.21-1+deb10u1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.21-1+deb10u1 389-ds-base_1.4.0.21-1+deb10u1.debian.tar.xz]

Import 389-ds-base_1.4.0.21.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.0.21.orig.tar.bz2]