<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 28 January 2015 at 02:49, Luca Bruno <span dir="ltr"><<a href="mailto:lucab@debian.org" target="_blank">lucab@debian.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">A debconf warning is already in place for jessie, and a full backport is<br>
currently sitting in bpo-NEW. Should we cherry-pick the same warning for<br>
wheezy and squeeze-lts?<br></blockquote><div><br></div><div>How does this warning work? Does it automatically test for vulnerable configurations somehow, or does it warn for all upgrades?</div><div><br></div><div>I think backporting to wheezy and squeeze-lts be a good idea, Â unless backporting is complicated for any reason. If it is just a simple debconf note, it sounds like it should be simple.</div><div><br></div><div>I have also looked up the situation for CentOS/Fedora. It looks like their openldap-servers package doesn't provide any ACLs, so are ok. I can't find any any official documentation on how to set up the ACLs, so it is very possible sysadmin's could get mislead, e.g. by the official openldap documentation[1] or third party websites[2], and still have vulnerable systems.</div><div><br></div><div>[1] <<a href="http://www.openldap.org/doc/admin24/access-control.html#Basic">http://www.openldap.org/doc/admin24/access-control.html#Basic</a> ACLs></div><div>[2] <<a href="http://www.zytrax.com/books/ldap/ch6/#ex-authenticated">http://www.zytrax.com/books/ldap/ch6/#ex-authenticated</a>></div></div>-- <br><div class="gmail_signature">Brian May <<a href="mailto:brian@microcomaustralia.com.au" target="_blank">brian@microcomaustralia.com.au</a>></div>
</div></div>