Merge 389-ds-base (1.4.4.11-2+deb11u1) import into refs/heads/workingbranch

Security fix for CVE-2024-8445

Description:
The fix for CVE-2024-2199 in 389-ds-base was insufficient to cover all
scenarios. In certain product versions, this issue may allow
an authenticated user to cause a server crash while modifying
`userPassword` using malformed input.

References:
- https://access.redhat.com/security/cve/CVE-2024-8445
- https://nvd.nist.gov/vuln/detail/cve-2024-8445
- https://bugzilla.redhat.com/show_bug.cgi?id=2310110
- https://nvd.nist.gov/vuln/detail/CVE-2024-2199
- https://access.redhat.com/security/cve/CVE-2024-2199
- https://bugzilla.redhat.com/show_bug.cgi?id=2267976

Origin: upstream, commit:1d3fddaac336f84e87ba399388f85734d79ebb95

Gbp-Pq: Name CVE-2024-8445.patch

CVE-2022-2850 - Sync_repl may crash while managing invalid cookie (#5420) - Issue 5418

Bug description:
If the servers receives an invalid cookie without separator '#',
it parses it into an empty cookie (Sync_Cookie) instead of a NULL
cookie (failure).
Later it sigsegv when using the empty cookie.

Fix description:
If the parsing fails return NULL

relates: #5418

Reviewed by: Viktor Ashirov, Mark Reynolds, William Brown, Simon
 Pichugin (thanks !)

Origin: backport, commit:513a763b551848e5532ec22bb0086464aa09252f

Gbp-Pq: Name CVE-2022-2850-Sync_repl-may-crash-with-invalid-cookie.patch

CVE-2022-0996 - User with expired password can still login with full privledges - Issue 5221

Bug Description:

A user with an expired password can still login and perform operations
with its typical access perimssions.  But an expired password means the
account should be considered anonymous.

Fix Description:

Clear the bind credentials if the password is expired

relates: https://github.com/389ds/389-ds-base/issues/5221

Reviewed by: progier(Thanks!)

Origin: upstream, commit:8b2c56123118ba02bb15e3091d2ae62d46df7ba5

Gbp-Pq: Name CVE-2022-0996-User-with-expired-password-full-priv.patch

CVE-2022-0918 - Craft message may crash the server (#5243) - Issue 5242

Bug description:
A craft request can result in DoS

Fix description:
If the server fails to decode the ber value
then return an Error

relates: 5242

Reviewed by: Pierre Rogier, Mark Reynolds (thanks !)

Platforms tested:  F34

Origin: upstream, commit:caad47ab207d7c5d61521ec4d33091db559c315a

Gbp-Pq: Name CVE-2022-0918-Craft-message-may-crash-the-server.patch

CVE-2021-4091 - double-free of the virtual attribute context in persistent search (#5219) - Issue 5218

description:
A search is processed by a worker using a private pblock.
If the search is persistent, the worker spawn a thread
and kind of duplicate its private pblock so that the spawn
        thread continue to process the persistent search.
Then worker ends the initial search, reinit (free) its private pblock,
        and returns monitoring the wait_queue.
When the persistent search completes, it frees the duplicated
pblock.
The problem is that private pblock and duplicated pblock
        are referring to a same structure (pb_vattr_context).
        That can lead to a double free

Fix:
When cloning the pblock (slapi_pblock_clone) make sure
to transfert the references inside the original (private)
pblock to the target (cloned) one
        That includes pb_vattr_context pointer.

Reviewed by: Mark Reynolds, James Chapman, Pierre Rogier (Thanks !)

Co-authored-by: Mark Reynolds <mreynolds@redhat.com>
Origin: upstream, commit:a3c298f8140d3e4fa1bd5a670f1bb965a21a9b7b

Gbp-Pq: Name CVE-2021-4091-double-free-of-virtual-attribute-ctx.patch

CVE-2021-3652 - locked crypt accounts on import may allow all passwords (#4819) - Issue 4817 - BUG

Bug Description: Due to mishanding of short dbpwd hashes, the
crypt_r algorithm was misused and was only comparing salts
in some cases, rather than checking the actual content
of the password.

Fix Description: Stricter checks on dbpwd lengths to ensure
that content passed to crypt_r has at least 2 salt bytes and
1 hash byte, as well as stricter checks on ct_memcmp to ensure
that compared values are the same length, rather than potentially
allowing overruns/short comparisons.

fixes: https://github.com/389ds/389-ds-base/issues/4817

Author: William Brown <william@blackhats.net.au>

Review by: @mreynolds389

Origin: backport, commit:aeb90eb0c41fc48541d983f323c627b2e6c328c7

Gbp-Pq: Name CVE-2021-3652-locked-crypt-accounts-may-allow-all-pwd.patch

Security fix for CVE-2024-5953

Description:
A denial of service vulnerability was found in the 389 Directory Server.
This issue may allow an authenticated user to cause a server denial
of service while attempting to log in with a user with a malformed hash
in their password.

Fix Description:
To prevent buffer overflow when a bind request is processed, the bind fails
if the hash size is not coherent without even attempting to process further
the hashed password.

References:
- https://nvd.nist.gov/vuln/detail/CVE-2024-5953
- https://access.redhat.com/security/cve/CVE-2024-5953
- https://bugzilla.redhat.com/show_bug.cgi?id=2292104

Origin: upstream, commit:b7a266f7fd07661afb0c979e76ff8a3a8b9dd0ae

Gbp-Pq: Name CVE-2024-5953.patch

Security fix for CVE-2024-3657

Description:
A flaw was found in the 389 Directory Server. A specially-crafted LDAP query
can potentially cause a failure on the directory server, leading to a denial
of service.

Fix Description:
The code was modified to avoid a buffer overflow when logging some requests
in the audit log.

References:
- https://nvd.nist.gov/vuln/detail/CVE-2024-3657
- https://access.redhat.com/security/cve/CVE-2024-3657
- https://bugzilla.redhat.com/show_bug.cgi?id=2274401

Origin: upstream, commit:1cbd6144eecdfaab0f7a84a92cc3de7ee413ac3f

Gbp-Pq: Name CVE-2024-3657.patch

Security fix for CVE-2024-2199

Description:
A denial of service vulnerability was found in the 389 Directory Server.
This issue may allow an authenticated user to cause a server crash while
modifying userPassword using malformed input.

Fix Description:
When doing a mod on userPassword we reset the pblock modifier after we
set the modified timestamp, ensuring the pblock data stays valid.

References:
- https://nvd.nist.gov/vuln/detail/CVE-2024-2199
- https://access.redhat.com/security/cve/CVE-2024-2199
- https://bugzilla.redhat.com/show_bug.cgi?id=2267976

Origin: upstream, commit:a9d87c9dbef85506eedc31d96da8a68766b4fc91

Gbp-Pq: Name CVE-2024-2199.patch

[PATCH] Issue 4711 - SIGSEV with sync_repl (#4738)

Bug description:
sync_repl sends back entries identified with a unique
identifier that is 'nsuniqueid'. If 'nsuniqueid' is
missing, then it may crash

Fix description:
Check a nsuniqueid is available else returns OP_ERR

relates: https://github.com/389ds/389-ds-base/issues/4711

Reviewed by: Pierre Rogier, James Chapman, William Brown (Thanks!)

Platforms tested:  F33

Gbp-Pq: Name 4711-SIGSEV-with-sync_repl-4738.patch

fix-s390x-failure

commit 900e6fdcf152dd696b5ae189cb1d7c67ab143bae
Author: tbordaz <tbordaz@redhat.com>
Date:   Thu Jan 28 10:39:31 2021 +0100

    Issue 4563 - Failure on s390x: 'Fails to split RDN "o=pki-tomcat-CA" into components' (#4573)

    Bug description:
            SLAPI_OPERATION_TYPE is a stored/read as an int (slapi_pblock_get/set).
            This although the storage field is an unsigned long.
            Calling slapi_pblock_get with an long (8 btyes) destination creates
            a problem on big-endian (s390x).

    Fix description:
            Define destination op_type as an int (4 bytes)

    relates: https://github.com/389ds/389-ds-base/issues/4563

    Reviewed by: Mark Reynolds, William Brown

    Platforms tested: F31 (little endian), Debian (big endian)

Gbp-Pq: Name fix-s390x-failure.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.4.11-2+deb11u1) bullseye-security; urgency=medium

  * Non-maintainer upload by the LTS team.
  * Backport security patches from the upstream.
    - CVE-2021-3652: Locked crypt accounts on import may allow any password.
    - CVE-2021-4091: Double-free of the virtual attribute context in
      persistent search, forcing the server to behave unexpectedly, and crash.
    - CVE-2022-0918: Denial of service triggered by specially crafted
      unauthenticated message crashing the server.
    - CVE-2022-0996: User with an expired password can still login with full
      privileges.
    - CVE-2022-2850: Crash while managing invalid cookie causing denial of
      service.
    - CVE-2024-2199 and CVE-2024-8445: Crash when modifying userPassword using
      malformed input.
    - CVE-2024-3657: Failure on the directory server with specially crafted
      LDAP query leading to denial of service.
    - CVE-2024-5953: Denial of service while attempting to log in with
      a user with a malformed hash in their password.

[dgit import unpatched 389-ds-base 1.4.4.11-2+deb11u1]

Import 389-ds-base_1.4.4.11-2+deb11u1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.4.11-2+deb11u1 389-ds-base_1.4.4.11-2+deb11u1.debian.tar.xz]

Merge 389-ds-base (1.4.4.11-2) import into refs/heads/workingbranch

[PATCH] Issue 4711 - SIGSEV with sync_repl (#4738)

Bug description:
sync_repl sends back entries identified with a unique
identifier that is 'nsuniqueid'. If 'nsuniqueid' is
missing, then it may crash

Fix description:
Check a nsuniqueid is available else returns OP_ERR

relates: https://github.com/389ds/389-ds-base/issues/4711

Reviewed by: Pierre Rogier, James Chapman, William Brown (Thanks!)

Platforms tested:  F33

Gbp-Pq: Name 4711-SIGSEV-with-sync_repl-4738.patch

fix-s390x-failure

commit 900e6fdcf152dd696b5ae189cb1d7c67ab143bae
Author: tbordaz <tbordaz@redhat.com>
Date:   Thu Jan 28 10:39:31 2021 +0100

    Issue 4563 - Failure on s390x: 'Fails to split RDN "o=pki-tomcat-CA" into components' (#4573)

    Bug description:
            SLAPI_OPERATION_TYPE is a stored/read as an int (slapi_pblock_get/set).
            This although the storage field is an unsigned long.
            Calling slapi_pblock_get with an long (8 btyes) destination creates
            a problem on big-endian (s390x).

    Fix description:
            Define destination op_type as an int (4 bytes)

    relates: https://github.com/389ds/389-ds-base/issues/4563

    Reviewed by: Mark Reynolds, William Brown

    Platforms tested: F31 (little endian), Debian (big endian)

Gbp-Pq: Name fix-s390x-failure.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.4.11-2) unstable; urgency=medium

  * 4711-SIGSEV-with-sync_repl-4738.patch: Fix CVE-2021-3514. (Closes:
    #988727)

[dgit import unpatched 389-ds-base 1.4.4.11-2]

Import 389-ds-base_1.4.4.11-2.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.4.11-2 389-ds-base_1.4.4.11-2.debian.tar.xz]

Import 389-ds-base_1.4.4.11.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.4.11.orig.tar.bz2]

Merge 389-ds-base (1.4.4.11-1) import into refs/heads/workingbranch

Import 389-ds-base_1.4.4.11.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.4.11.orig.tar.bz2]

fix-s390x-failure

commit 900e6fdcf152dd696b5ae189cb1d7c67ab143bae
Author: tbordaz <tbordaz@redhat.com>
Date:   Thu Jan 28 10:39:31 2021 +0100

    Issue 4563 - Failure on s390x: 'Fails to split RDN "o=pki-tomcat-CA" into components' (#4573)

    Bug description:
            SLAPI_OPERATION_TYPE is a stored/read as an int (slapi_pblock_get/set).
            This although the storage field is an unsigned long.
            Calling slapi_pblock_get with an long (8 btyes) destination creates
            a problem on big-endian (s390x).

    Fix description:
            Define destination op_type as an int (4 bytes)

    relates: https://github.com/389ds/389-ds-base/issues/4563

    Reviewed by: Mark Reynolds, William Brown

    Platforms tested: F31 (little endian), Debian (big endian)

Gbp-Pq: Name fix-s390x-failure.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.4.11-1) unstable; urgency=medium

  * New upstream release.
  * fix-s390x-failure.diff: Fix a crash on big-endian architectures like
    s390x.

[dgit import unpatched 389-ds-base 1.4.4.11-1]

Import 389-ds-base_1.4.4.11-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.4.11-1 389-ds-base_1.4.4.11-1.debian.tar.xz]

Merge 389-ds-base (1.4.4.10-1) import into refs/heads/workingbranch

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.4.10-1) unstable; urgency=medium

  * New upstream release.
  * CVE-2017-15135.patch: Refreshed.
  * source: Update diff-ignore.
  * install: Drop libsds which got removed.
  * control: Add libnss3-tools to cockpit-389-ds Depends. (Closes:
    #965004)
  * control: Drop python3-six from depends.

[dgit import unpatched 389-ds-base 1.4.4.10-1]

Import 389-ds-base_1.4.4.10.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.4.10.orig.tar.bz2]

Import 389-ds-base_1.4.4.10-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.4.10-1 389-ds-base_1.4.4.10-1.debian.tar.xz]

Merge 389-ds-base (1.4.4.9-1) import into refs/heads/workingbranch

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.4.9-1) unstable; urgency=medium

  * New upstream release.
  * fix-prlog-include.diff: Dropped, upstream.

[dgit import unpatched 389-ds-base 1.4.4.9-1]

Import 389-ds-base_1.4.4.9.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.4.9.orig.tar.bz2]

Import 389-ds-base_1.4.4.9-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.4.9-1 389-ds-base_1.4.4.9-1.debian.tar.xz]

Merge 389-ds-base (1.4.4.8-1) import into refs/heads/workingbranch

fix-prlog-include

Gbp-Pq: Name fix-prlog-include.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.4.8-1) unstable; urgency=medium

  * New upstream release.
  * fix-systemctl-path.diff, drop-old-man.diff: Dropped, obsolete.
  * fix-prlog-include.diff: Fix build by dropping nspr4/ prefix.
  * install, rules: Clean up perl cruft that got removed upstream.
  * install: Add openldap_to_ds.
  * watch: Follow 1.4.4.x.

[dgit import unpatched 389-ds-base 1.4.4.8-1]

Import 389-ds-base_1.4.4.8.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.4.8.orig.tar.bz2]

Import 389-ds-base_1.4.4.8-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.4.8-1 389-ds-base_1.4.4.8-1.debian.tar.xz]

Merge 389-ds-base (1.4.4.4-1) import into refs/heads/workingbranch

drop-old-man

Gbp-Pq: Name drop-old-man.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

Fix the path to systemctl binary

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.4.4-1) unstable; urgency=medium

  * New upstream release.
  * watch: Update upstream git repo url.
  * control: Add python3-dateutil to build-depends.
  * copyright: Drop duplicate globbing patterns.
  * lintian: Drop obsolete overrides.
  * postinst: Drop obsolete rule to upgrade the instances.
  * prerm: Use dsctl instead of remove-ds.

[dgit import unpatched 389-ds-base 1.4.4.4-1]

Import 389-ds-base_1.4.4.4.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.4.4.orig.tar.bz2]

Import 389-ds-base_1.4.4.4-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.4.4-1 389-ds-base_1.4.4.4-1.debian.tar.xz]

Merge 389-ds-base (1.4.4.3-1) import into refs/heads/workingbranch

drop-old-man

Gbp-Pq: Name drop-old-man.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

Fix the path to systemctl binary

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.4.3-1) unstable; urgency=medium

  * New upstream release.
  * fix-db-home-dir.diff: Dropped, upstream.

[dgit import unpatched 389-ds-base 1.4.4.3-1]

Import 389-ds-base_1.4.4.3.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.4.3.orig.tar.bz2]

Import 389-ds-base_1.4.4.3-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.4.3-1 389-ds-base_1.4.4.3-1.debian.tar.xz]

Merge 389-ds-base (1.4.3.6-2) import into refs/heads/workingbranch

fix-db-home-dir

Gbp-Pq: Name fix-db-home-dir.diff

drop-old-man

Gbp-Pq: Name drop-old-man.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

Fix the path to systemctl binary

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.3.6-2) unstable; urgency=medium

  * fix-db-home-dir.diff: Set db_home_dir same as db_dir to fix an issue
    starting a newly created instance.

[dgit import unpatched 389-ds-base 1.4.3.6-2]

Import 389-ds-base_1.4.3.6-2.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.3.6-2 389-ds-base_1.4.3.6-2.debian.tar.xz]

Import 389-ds-base_1.4.3.6.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.3.6.orig.tar.bz2]

Merge 389-ds-base (1.4.3.4-1) import into refs/heads/workingbranch

drop-old-man

Gbp-Pq: Name drop-old-man.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

Fix the path to systemctl binary

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.3.4-1) unstable; urgency=medium

  * New upstream release.
  * Add debian/gitlab-ci.yml.
    - allow blhc to fail
  * control: Bump policy to 4.5.0.
  * control: Use https url for upstream.
  * control: Use canonical URL in Vcs-Browser.
  * copyright: Use spaces rather than tabs to start continuation lines.
  * Add lintian-overrides for the source, cockpit index.js has long lines.

[dgit import unpatched 389-ds-base 1.4.3.4-1]

Import 389-ds-base_1.4.3.4.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.3.4.orig.tar.bz2]

Import 389-ds-base_1.4.3.4-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.3.4-1 389-ds-base_1.4.3.4-1.debian.tar.xz]

Merge 389-ds-base (1.4.3.2-1) import into refs/heads/workingbranch

drop-old-man

Gbp-Pq: Name drop-old-man.diff

[PATCH] Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

Fix the path to systemctl binary

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.3.2-1) unstable; urgency=medium

  * New upstream release.
  * prerm: Fix slapd install path. (Closes: #945583)
  * install: Updated.
  * control: Use debhelper-compat.

[dgit import unpatched 389-ds-base 1.4.3.2-1]

Import 389-ds-base_1.4.3.2.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.3.2.orig.tar.bz2]

Import 389-ds-base_1.4.3.2-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.3.2-1 389-ds-base_1.4.3.2-1.debian.tar.xz]

Merge 389-ds-base (1.4.2.4-1) import into refs/heads/workingbranch

drop-old-man

Gbp-Pq: Name drop-old-man.diff

Ticket bz1525628 - invalid password migration causes unauth bind

Bug Description:  Slapi_ct_memcmp expects both inputs to be
at LEAST size n. If they are not, we only compared UP to n.

Invalid migrations of passwords (IE {CRYPT}XX) would create
a pw which is just salt and no hash. ct_memcmp would then
only verify the salt bits and would allow the authentication.

This relies on an administrative mistake both of allowing
password migration (nsslapd-allow-hashed-passwords) and then
subsequently migrating an INVALID password to the server.

Fix Description:  slapi_ct_memcmp now access n1, n2 size
and will FAIL if they are not the same, but will still compare
n bytes, where n is the "longest" memory, to the first byte
of the other to prevent length disclosure of the shorter
value (generally the mis-migrated password)

https://bugzilla.redhat.com/show_bug.cgi?id=1525628

Author: wibrown

Review by: ???

Gbp-Pq: Name CVE-2017-15135.patch

fix-systemctl-path

Gbp-Pq: Name fix-systemctl-path.diff

fix-saslpath

Gbp-Pq: Name fix-saslpath.diff

389-ds-base (1.4.2.4-1) unstable; urgency=medium

  * New upstream release.
    - CVE-2019-14824 deref plugin displays restricted attributes
      (Closes: #944150)
  * fix-obsolete-target.diff: Dropped, obsolete
    drop-old-man.diff: Refreshed
  * control: Add python3-packaging to build-depends and python3-lib389 depends.
  * dev,libs.install: Nunc-stans got dropped.
  * source/local-options: Add some files to diff-ignore.
  * rules: Refresh list of files to purge.
  * rules: Update dh_auto_clean override.

[dgit import unpatched 389-ds-base 1.4.2.4-1]

Import 389-ds-base_1.4.2.4.orig.tar.bz2

[dgit import orig 389-ds-base_1.4.2.4.orig.tar.bz2]

Import 389-ds-base_1.4.2.4-1.debian.tar.xz

[dgit import tarball 389-ds-base 1.4.2.4-1 389-ds-base_1.4.2.4-1.debian.tar.xz]

Merge 389-ds-base (1.4.1.6-4) import into refs/heads/workingbranch