Merge 389-ds-base (1.4.0.21-1+deb10u1) import into refs/heads/workingbranch

Ticket 50329 - Possible Security Issue: DOS due to ioblocktimeout not applying to TLS

Bug Description:
A secure socket is configured in blocking mode. If an event
is detected on a secure socket a worker, tries to read the request.
The read can hang indefinitely if there is nothing to read.
As a consequence ioblocktimeout is not enforced when reading secure socket

Fix Description:
The fix is specific to secure socket read.
Before reading it polls the socket for a read. The socket is poll
(with a 0.1s timeout) until read is possible or sum of poll timeout
is greater than ioblocktimeout.

https://pagure.io/389-ds-base/issue/50329

Reviewed by: Mark Reynolds

Platforms tested: F28

Flag Day: no

Doc impact: no

Gbp-Pq: Name CVE-2019-3883.patch

Ticket 50251 - clear text passwords visable in CLI verbose mode logging

Bug Description:  If you run any of the CLI tools using "-v", and set a password,
                  that password will be displayed in clear text in the console.

Fix Description:  Create an internal list of sensitive attributes to filter, and
                  mask them in the operation debug logging.  But still allow the
                  password to be seen if you set the env variable DEBUGGING=true

                  We also still print the root DN password if it is a container
                  installation.

https://pagure.io/389-ds-base/issue/50251

Reviewed by: spichugi, firstyear, and mhonek (Thanks!!!)

Gbp-Pq: Name CVE-2019-10224.patch

[PATCH] Issue 50716 - CVE-2019-14824 (BZ#1748199) - deref plugin displays restricted attributes

Bug Description:  If there is an ACI that allows "search" access to an attribute,
                  the deref plugin access control checks sees this is a "read"
                  privilege and returns the attribute's value.

Fix description:  For deref plugin we are only concerned with "read" access, not
                  "search" access.  Removed the SLAPI_ACL_SEARCH right flag when
                  checking access for an attribute.

relates: https://pagure.io/389-ds-base/issue/50716

Reviewed by: lkrispen & tbordaz(Thanks!)

Gbp-Pq: Name CVE-2019-14824.patch

[PATCH] Issue 4711 - SIGSEV with sync_repl (#4738)

Bug description:
sync_repl sends back entries identified with a unique
identifier that is 'nsuniqueid'. If 'nsuniqueid' is
missing, then it may crash

Fix description:
Check a nsuniqueid is available else returns OP_ERR

relates: https://github.com/389ds/389-ds-base/issues/4711

Reviewed by: Pierre Rogier, James Chapman, William Brown (Thanks!)

Platforms tested:  F33

Gbp-Pq: Name CVE-2021-3514.patch

[PATCH] Issue 4817 - BUG - locked crypt accounts on import may allow all passwords (#4819)

Bug Description: Due to mishanding of short dbpwd hashes, the
crypt_r algorithm was misused and was only comparing salts
in some cases, rather than checking the actual content
of the password.

Fix Description: Stricter checks on dbpwd lengths to ensure
that content passed to crypt_r has at least 2 salt bytes and
1 hash byte, as well as stricter checks on ct_memcmp to ensure
that compared values are the same length, rather than potentially
allowing overruns/short comparisons.

fixes: https://github.com/389ds/389-ds-base/issues/4817

Author: William Brown <william@blackhats.net.au>

Review by: @mreynolds389

Gbp-Pq: Name CVE-2021-3652.patch

[PATCH] Issue 5418 - Sync_repl may crash while managing invalid cookie (#5420)

Bug description:
        If the servers receives an invalid cookie without separator '#',
        it parses it into an empty cookie (Sync_Cookie) instead of a NULL
        cookie (failure).
        Later it sigsegv when using the empty cookie.

Fix description:
        If the parsing fails return NULL

relates: #5418

Reviewed by: Viktor Ashirov, Mark Reynolds, William Brown, Simon Pichugin (thanks !)

Gbp-Pq: Name CVE-2022-2850.patch

[PATCH] Issue 5221 - User with expired password can still login with full privledges

Bug Description:

A user with an expired password can still login and perform operations
with its typical access perimssions.  But an expired password means the
account should be considered anonymous.

Fix Description:

Clear the bind credentials if the password is expired

relates: https://github.com/389ds/389-ds-base/issues/5221

Reviewed by: progier(Thanks!)

Gbp-Pq: Name CVE-2022-0996.patch

[PATCH] Issue 5242- Craft message may crash the server (#5243)

Bug description:
A craft request can result in DoS

Fix description:
If the server fails to decode the ber value
then return an Error

relates: 5242

Reviewed by: Pierre Rogier, Mark Reynolds (thanks !)

Platforms tested:  F34

Gbp-Pq: Name CVE-2022-0918.patch

[PATCH] Issue 5218 - double-free of the virtual attribute context in persistent search (#5219)

description:
A search is processed by a worker using a private pblock.
If the search is persistent, the worker spawn a thread
and kind of duplicate its private pblock so that the spawn
        thread continue to process the persistent search.
Then worker ends the initial search, reinit (free) its private pblock,
        and returns monitoring the wait_queue.
When the persistent search completes, it frees the duplicated
pblock.
The problem is that private pblock and duplicated pblock
        are referring to a same structure (pb_vattr_context).
        That can lead to a double free

Fix:
When cloning the pblock (slapi_pblock_clone) make sure
to transfert the references inside the original (private)
pblock to the target (cloned) one
        That includes pb_vattr_context pointer.

Reviewed by: Mark Reynolds, James Chapman, Pierre Rogier (Thanks !)

Co-authored-by: Mark Reynolds <mreynolds@redhat.com>
Gbp-Pq: Name CVE-2021-4091.patch

fix-nss-path

Gbp-Pq: Name fix-nss-path.diff

Use pkg-config to detect icu, since icu-config is deprecated

Bug: https://pagure.io/389-ds-base/issue/50067
Bug-Debian: https://bugs.debian.org/916115
Forwarded: https://pagure.io/389-ds-base/pull-request/50111
Last-Update: 2018-12-28

and will be removed from Debian

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

Fix the path to systemctl binary

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.21-1+deb10u1) buster-security; urgency=medium

  * Non-maintainer upload by the LTS Security Team.
  * CVE-2021-4091: double free of the virtual attribute context in
                   persistent search.
  * CVE-2022-0918: an unauthenticated attacker with network access to
                   the LDAP port
                   can cause a denial of service.
  * CVE-2022-0996: expired password was still allowed to access the database.
  * CVE-2022-2850: possible NULL pointer dereference leading to a denial of
                   service.
  * CVE-2021-3652: importing an asterisk as password hashes enables successful
                   authentication with any password, allowing attackers to
                   access accounts with disabled passwords.
  * CVE-2021-3514: an authenticated attacker can crash 389-ds-base using a
                   specially crafted query in sync_repl client, due to a NULL
                   pointer dereference.
  * CVE-2019-14824:deref plugin vulnerability lets authenticated attackers
                   access private attributes, like password hashes, using the
                   'search' permission.
  * CVE-2019-10224:vulnerability that may disclose sensitive information,
                   including the Directory Manager password, when executing
                   dscreate and dsconf commands in verbose mode.and dsconf
                   commands in verbose mode and recording the terminal standard
                   error output.
  * CVE-2019-3883: SSL/TLS requests do not enforce ioblocktimeout limit, leading
                   to DoS vulnerability by hanging all workers with hanging LDAP
                   requests.

[dgit import unpatched 389-ds-base 1.4.0.21-1+deb10u1]

Import 389-ds-base_1.4.0.21-1+deb10u1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.21-1+deb10u1 389-ds-base_1.4.0.21-1+deb10u1.debian.tar.xz]

Merge 389-ds-base (1.4.0.21-1) import into refs/heads/workingbranch

Import 389-ds-base_1.4.0.21.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.0.21.orig.tar.bz2]

fix-nss-path

Gbp-Pq: Name fix-nss-path.diff

icu_pkg-config

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.21-1) unstable; urgency=medium

  * New upstream release.
  * Run offline upgrade only when upgrading from versions below 1.4.0.9,
    ns-slapd itself handles upgrades in newer versions.
  * rules: Actually install the minified javascript files. (Closes:
    #913820)

[dgit import unpatched 389-ds-base 1.4.0.21-1]

Import 389-ds-base_1.4.0.21-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.21-1 389-ds-base_1.4.0.21-1.debian.tar.xz]

Merge 389-ds-base (1.4.0.20-3) import into refs/heads/workingbranch

fix-nss-path

Gbp-Pq: Name fix-nss-path.diff

icu_pkg-config

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.20-3) unstable; urgency=medium

  * control: 389-ds-base should depend on the legacy tools for now.
    (Closes: #919420)

[dgit import unpatched 389-ds-base 1.4.0.20-3]

Import 389-ds-base_1.4.0.20-3.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.20-3 389-ds-base_1.4.0.20-3.debian.tar.xz]

Import 389-ds-base_1.4.0.20.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.0.20.orig.tar.bz2]

Merge 389-ds-base (1.4.0.19-3) import into refs/heads/workingbranch

icu_pkg-config

Gbp-Pq: Name icu_pkg-config.patch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

dont-build-new-manpages

Gbp-Pq: Name dont-build-new-manpages.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.19-3) unstable; urgency=medium

  [ Jelmer Vernooij ]
  * Use secure copyright file specification URI.
  * Trim trailing whitespace.
  * Use secure URI in Vcs control header.

  [ Hugh McMaster ]
  * control: Mark 389-ds-base-libs{,-dev} M-A: same, cockpit-389-ds M-A:
    foreign and arch:all. (Closes: #916118)
  * Use pkg-config to detect icu. (Closes: #916115)

[dgit import unpatched 389-ds-base 1.4.0.19-3]

Import 389-ds-base_1.4.0.19-3.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.19-3 389-ds-base_1.4.0.19-3.debian.tar.xz]

Merge 389-ds-base (1.4.0.19-2) import into refs/heads/workingbranch

perl-use-move-instead-of-rename

Gbp-Pq: Name perl-use-move-instead-of-rename.diff

dont-build-new-manpages

Gbp-Pq: Name dont-build-new-manpages.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.4.0.19-2) unstable; urgency=medium

  * rules: Add -latomic to LDFLAGS on archs failing to build. (Closes:
    #910982)

[dgit import unpatched 389-ds-base 1.4.0.19-2]

Import 389-ds-base_1.4.0.19-2.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.0.19-2 389-ds-base_1.4.0.19-2.debian.tar.xz]

Import 389-ds-base_1.4.0.19.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.0.19.orig.tar.bz2]

fix-upstream-49245

Gbp-Pq: Name fix-upstream-49245.diff

fix-48986-cve-2017-2591

commit ffda694dd622b31277da07be76d3469fad86150f
Author: William Brown <william@blackhats.net.au>
Date:   Wed Sep 28 10:46:21 2016 +1000

    Ticket 48986 - 47808 triggers overflow in uiduniq.c

    Bug Description:  Certain configurations of uiduniq.c would cause an overflow
    when running with Address Sanitiser

    Fix Description:  Increase the size of the allocation to tmp_config->attrs.

    https://fedorahosted.org/389/ticket/48986

    Author: nhosoi

    Reviewed by: wibrown

Gbp-Pq: Name fix-48986-cve-2017-2591.diff

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

reproducible-build

Gbp-Pq: Name reproducible-build.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

fix-obsolete-target

Gbp-Pq: Name fix-obsolete-target.diff

support-kfreebsd

Gbp-Pq: Name support-kfreebsd.patch

fix-bsd

Gbp-Pq: Name fix-bsd.patch

ftbs_lsoftotkn3

Gbp-Pq: Name ftbs_lsoftotkn3.diff

rename-online-scripts

Gbp-Pq: Name rename-online-scripts.diff

use-bash-instead-of-sh

Gbp-Pq: Name use-bash-instead-of-sh.diff

389-ds-base (1.3.5.17-2) unstable; urgency=medium

  * fix-upstream-49245.diff: Pull commits from upstream 1.3.5.x, which
    remove rest of the asm code. (Closes: #862194)

[dgit import unpatched 389-ds-base 1.3.5.17-2]

Import 389-ds-base_1.3.5.17-2.debian.tar.xz

[dgit import tarball 389-ds-base 1.3.5.17-2 389-ds-base_1.3.5.17-2.debian.tar.xz]

Import 389-ds-base_1.3.5.17.orig.tar.bz2

[dgit import orig 389-ds-base_1.3.5.17.orig.tar.bz2]