Qu'est-ce qui se passe vraiment dans ces rapports de vulnérabilité Lion LDAP?

Il suffit de lire un thread Slashdot sur la rupture de LDAP sur OSX. Quelqu'un peut-il expliquer exactement ce qui est sécurisé par OpenLDAP et pourquoi autre chose que datatables stockées sur une machine Lion pourrait-elle être menacée?

Une citation de l'article:

"En tant que testeurs de stylo, l'une des premières choses que nous faisons est d'attaquer le server LDAP", a déclaré Rob Graham, PDG de la firme d'audit Errata Security. "Une fois que nous possédons un server LDAP, nous possédons tout. Je peux monter sur n'importe quel ordinateur portable (dans une organisation) et me connecter à lui. "

Comment peut-on passer du piratage d'un server Mac LD random à posséder toute l'entreprise?

2 Solutions collect form web for “Qu'est-ce qui se passe vraiment dans ces rapports de vulnérabilité Lion LDAP?”

Ne vous inquiétez pas. Ce n'est pas une menace énorme pour les réseaux d'entreprise qui est suggéré par cet article dans The Register .

Apple Lion est nouveau et, par conséquent, ce bogue reçoit une attention disproportionnée par rapport à des défauts similaires sur d'autres systèmes d'exploitation. Voici une description plus calme de ce même problème:

  • " Mac OS X Lion échoue à vérifier les passwords lors de l'authentification via LDAP ".
  • Paul Ducklin de nakedsecurity.sophos.com a écrit une pièce plus motivée sur ce problème et le battement médiatique derrière lui.

Il s'agit d'un exploit local sur un système Apple Lion qui affecte ce système uniquement. Apple n'a pas encore fourni de détails. Voici comment je comprends le problème: si quelqu'un se connecte à un système Apple Lion une fois avec succès, alors quelqu'un d'autre peut se connecter au même système avec n'importe quel mot de passe. C'est un problème grave pour ce système, mais le dommage est principalement limité à ce système particulier. Malheureusement, ce système est maintenant less confiant et peut être sur votre réseau.

Ce problème NE permet PAS à un pirate informatique de posséder vos servers AD / LDAP, d'après lui-même. Vos servers AD / LDAP rejettent toujours toute request d'autorisation LDAP incorrecte de tout client LDAP. Ignorer cela nécessiterait un défaut majeur sur le server LDAP ou le protocole LDAP ou un server mal configuré, ce qui est un problème complètement différent, puis le problème décrit ci-dessus.

Gardez à l'esprit que ce problème affecte uniquement les systèmes Apple Lion qui utilisent LDAP pour l'authentification. Dans la plupart des organisations, ce sera un très petit nombre de clients. Un server Apple Lion pourrait être plus vulnérable, mais Apple a besoin d'élaborer le problème et ils n'ont pas encore été très intéressés à propos de ce problème. Pouvez-vous imaginer que RedHat retienne l'information sur une vulnérabilité publique depuis si longtime?

Le problème de la vulnérabilité est très bien expliqué dans l'article lié par slashdot.

Le vrai problème est que, une fois que quelqu'un arrive sur une machine Lion sur le réseau qui utilise LDAP comme méthode d'autorisation, vous pouvez lire le contenu du directory LDAP. Ce qui vous donnerait access à tous les counts sur le réseau qui utilisent l'authentification centrale. En outre, il vous donne access à tout ce qui est sécurisé par le système d'autorisation LDAP. Fondamentalement, vous possédez maintenant tout ce réseau.

Comme note secondaire, je suis curieux de savoir si c'est un bogue dans l'autorisation LDAP ou le système d'authentification sous-jacent (probablement kerboros).

En outre, si vous n'utilisez pas LDAP comme source d'autorisation (OpenLDAP, Active Directory, NDS, etc.), vous n'êtes pas affecté par ceci.

Pour répondre à votre question spécifique:

Quelqu'un peut-il expliquer exactement ce qui est sécurisé par OpenLDAP

La réponse est "Cela dépend …" sur ce que votre infrastructure informatique a configuré pour utiliser LDAP pour l'autorisation.

  • hosts.allow et hosts.deny WHM Host Access Control - que faire si mon IP change?
  • Reverse Proxy - devrait-il s'agir d'une stack de technologie différente?
  • Dois-je filterr OUTPUT avec iptables pour une boîte de pare-feu dédiée?
  • L'identité du pool d'applications IIS ne respecte pas la security de Windows
  • Comment protéger le server contre le forçage brutal de l'authentification HTTP?
  • Est-il possible de fournir l'access à une ressource de domaine à un user non-domaine?
  • Puis-je utiliser la terminaison SSL pour les données sensibles, et si ce n'est pas le point même d'utiliser SSL avec la terminaison?
  • Conséquences du déplacement des users de Linux vers un directory non par défaut
  • Assurer un nouveau server Ubuntu
  • Accorder des privilèges NON-administrateur à IIS 7
  • Atténuer les risques de détournement de session HTTP sur des réseaux Wi-Fi ouverts avec VPS
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.