製品・ソフトウェアに関する情報

JVN脆弱性詳細

レッドハットの389 Directory Server等の複数製品における境界外書き込みに関する脆弱性

タイトル	レッドハットの389 Directory Server等の複数製品における境界外書き込みに関する脆弱性
概要	389 Directory Serverのaclparse.c内の__aclp__normalize_acltxt()関数に脆弱性が見つかりました。不正なACI（アクセス制御指示）文字列がACI解析中にヒープバッファのオーバーフローによる書き込みおよび読み取りを引き起こす可能性があります。この関数は、空白削除後のACIキーワードの長さが十分であるかを検証しないため、1バイトの境界外書き込みとその後の境界外読み取りが発生します。aci属性に書き込み権限を持つ認証済みユーザーは、細工されたACI値を送信することでディレクトリサーバープロセスのヒープメモリを静かに破損させる可能性があります。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアの一部が停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月17日0:00
登録日	2026年6月29日11:06
最終更新日	2026年6月29日11:06

影響を受けるシステム

レッドハット

389 Directory Server

Red Hat Directory Server 11.0

Red Hat Directory Server 12.0

Red Hat Directory Server 13.0

Red Hat Enterprise Linux 10.0

Red Hat Enterprise Linux 7.0

Red Hat Enterprise Linux 8.0

Red Hat Enterprise Linux 9.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-12528	https://www.cve.org/CVERecord?id=CVE-2026-12528
National Vulnerability Database (NVD)
2	CVE-2026-12528	https://nvd.nist.gov/vuln/detail/CVE-2026-12528
Red Hat Customer Portal
3	CVE-2026-12528 - Red Hat Customer Portal	https://access.redhat.com/security/cve/CVE-2026-12528

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-787	https://cwe.mitre.org/data/definitions/787.html

ベンダー情報

No	名前	URL
Red Hat Bugzilla
1	2489835 (CVE-2026-12528) CVE-2026-12528 389-ds-base: 389-ds-base: heap-buffer-overflows in __aclp__normalize_acltxt()	https://bugzilla.redhat.com/show_bug.cgi?id=2489835

その他

No	名前	URL
関連文書
1	Issue 7541 - heap-buffer-overflows in __aclp__normalize_acltxt() by IliaKash1 Pull Request #7542 389ds/389-ds-base GitHub	https://github.com/389ds/389-ds-base/pull/7542

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:06