Вопрос: Что, черт возьми, происходит в этих отчетах об уязвимости Lion LDAP?


Просто прочитайте Slashdot thread на уязвимость LDAP на OSX. Может ли кто-нибудь объяснить, что именно защищено OpenLDAP и почему ничего, кроме данных, хранящихся на машине Lion, может оказаться под угрозой?

Цитата из статьи:

«Как тестеры пера, одна из первых вещей, которые мы делаем, - это атаковать сервер LDAP», - сказал Роб Грэхем, генеральный директор аудиторской фирмы Errata Security. «Как только мы владеем сервером LDAP, у нас есть все. Я могу подойти к любому ноутбуку (в организации) и войти в него ».

Как перейти от взлома случайного Mac LDAP-сервера к владению всем предприятием?


8
2017-08-29 21:32


Источник


Slashdot, The Register и MacRumors полны дезинформации и шумихи. Принимайте их заявления с солью до тех пор, пока вы не прочитаете об этом в авторитетном источнике. Эти статьи очень легки в деталях, и есть много путаницы, если это повлияет на что-либо помимо счетов на локальная машина, Ходят слухи, что эта проблема является «кошмаром в сфере безопасности предприятия» или может позволить пользователям владеть сервером LDAP, но это кажется маловероятным. Сломанные и пользовательские клиенты LDAP не новы. - Stefan Lasiewski
Это хороший вопрос. Почти каждая статья, которую я прочитал, крайне не хватает. - Zoredache


Ответы:


Не волнуйтесь. Это не громадная угроза для корпоративных сетей, что эта статья в Реестре,

Apple Lion является новым, и, таким образом, эта ошибка получает непропорциональное количество внимания по сравнению с аналогичными недостатками в других операционных системах. Вот несколько более точных описаний этой же проблемы:

Это локальная эксплуатация системы Apple Lion, которая влияет только на эту систему. Apple еще не предоставила никаких подробностей. Вот как я понимаю проблему: если кто-то успешно войдет в систему Apple Lion, кто-то еще сможет войти в ту же систему с любым паролем. Это серьезная проблема для этой системы, но ущерб в основном ограничен этой конкретной системой. К сожалению, эта система теперь менее надежна и может быть включена в вашу сеть.

Эта проблема НЕ позволяет хакеру самостоятельно владеть серверами AD / LDAP. Серверы AD / LDAP по-прежнему будут отклонять любой неверный запрос авторизации LDAP от любого клиента LDAP. Для обхода этого потребуется серьезный недостаток на LDAP-сервере или LDAP-протоколе или неправильно сконфигурированный сервер, что является совершенно другой проблемой, чем проблема, описанная выше.

Имейте в виду, что эта проблема затрагивает только системы Apple Lion, которые используют LDAP для аутентификации. В большинстве организаций это будет очень небольшое количество клиентов. Сервер Apple Lion может быть более уязвимым, но Apple нуждается в разработке этой проблемы, и они пока не очень ожидали этой проблемы. Можете ли вы представить, что RedHat сдерживает информацию об общеизвестной уязвимости в течение столь длительного времени?


8
2017-08-30 00:51





Проблема с уязвимостью довольно хорошо объясняется в статье, связанной с slashdot.

Настоящая проблема заключается в том, что, как только кто-то попадает на любую машину Lion в сети, которая использует LDAP, так как это метод авторизации, вы можете прочитать содержимое каталога LDAP. Это даст вам доступ ко всем учетным записям в сети, использующим центральную аутентификацию. Кроме того, он дает вам доступ ко всему обеспеченныйсистемой авторизации LDAP. В принципе, теперь у вас есть все в этой сети.

Как примечание, мне любопытно, является ли это ошибкой в ​​авторизации LDAP или базовой (вероятно, керборос) системе аутентификации.

Кроме того, если вы не используете LDAP в качестве источника авторизации (OpenLDAP, Active Directory, NDS и т. Д.), Вы не будете этим заниматься.

Чтобы ответить на конкретный вопрос:

Кто-нибудь может объяснить то, что обеспечивает OpenLDAP

Ответ: «Это зависит ...» от того, что ваша ИТ-инфраструктура настроила на использование LDAP для авторизации.


3
2017-08-29 21:45



Кроме того, он дает вам доступ к чему-либо, защищенному системой авторизации LDAP. - Как можно взять сломанный клиент LDAP (или злоумышленно настроенный клиент LDAP) и использовать его для получения доступа к ресурсам, которые защищены LDAP? Разве это не требовало бы недостатка в протоколе LDAP или на самом сервере LDAP? - Stefan Lasiewski
Чтобы быть ясным, мои вопросы касаются других ресурсов в сети («В принципе, теперь у вас есть все в этой сети»). - Stefan Lasiewski
Вы уверены, что действительно можете читать / выгружать содержимое каталога? Как это будет сделано? Kerberos не требуется в настройке OSX. Клиент, принимающий недопустимого пользователя как аутентичный, не означает, что сервер примет его как аутентифицированный. Если LDAP-сервер не разрешает анонимные чтения, и пользователь не предоставил действительный пароль, то как они смогут читать что-нибудь? - Zoredache
Это каталог. Конечно, пользователи могут читать вещи в каталогах. Можете ли вы прочитать атрибут userPassword без привязки? - jldugger
@jldugger. В моем каталоге (а не OD) вы даже не можете получить список пользователей без успешного связывания. Я не знаю OSX действительно хорошо, хотя он строит набор учетных данных для каждой машины (например, AD), я не думал, что это так, но я мог ошибаться. Если для машины нет учетных данных, и Apple не делает что-то глупое, как сохранение обратимой копии пароля, тогда я не знаю, как ошибка кэширования клиента означает, что вы получаете бесплатный доступ к каталогу. - Zoredache