Какого черта в действительности происходит в этих отчетах об уязвимостях Lion LDAP?

8

Просто прочитайте ветку Slashdot о нарушении работы LDAP в OSX. Может кто-нибудь объяснить, что именно обеспечивается OpenLDAP и почему может подвергаться риску что-либо кроме данных, хранящихся на компьютере Lion?

Цитата из статьи:

«В качестве ручных тестеров мы в первую очередь атакуем сервер LDAP», - говорит Роб Грэм, генеральный директор аудиторской фирмы Errata Security. «Когда у нас есть сервер LDAP, у нас есть все. Я могу подойти к любому ноутбуку (в организации) и войти в него ».

Как можно перейти от взлома случайного LDAP-сервера Mac к владению всем предприятием?

jldugger
источник
2
Slashdot, The Register и MacRumors полны дезинформации и шумихи. Принимайте их заявления с недоверием, пока не прочитаете об этом из авторитетного источника. Эти статьи очень легки в деталях, и существует большая путаница, если это повлияет на что-либо, кроме учетных записей на локальном компьютере . Ходят слухи, что эта проблема является «кошмаром безопасности предприятия» или может позволить пользователям владеть сервером LDAP, но это маловероятно. Сломанные и нестандартные клиенты LDAP не являются чем-то новым.
Стефан Ласевский
Это хороший вопрос. Почти каждая статья, которую я прочитал, крайне не хватает деталей.
Зоредаче

Ответы:

8

Не пугайся. Это не огромная угроза корпоративным сетям, о которой говорится в этой статье в The Register .

Apple Lion является новым, и, таким образом, эта ошибка получает непропорциональное количество внимания по сравнению с аналогичными недостатками в других операционных системах. Вот некоторые более спокойные описания этой же проблемы:

Это локальный эксплойт в системе Apple Lion, который влияет только на эту систему. Apple пока не предоставила каких-либо подробностей. Вот как я понимаю проблему: если кто-то один раз успешно входит в систему Apple Lion, то любой другой может войти в ту же систему с любым паролем. Это серьезная проблема для этой системы, но ущерб в основном ограничен этой конкретной системой. К сожалению, эта система теперь менее надежна и может быть включена в вашу сеть.

Эта проблема НЕ позволяет хакеру самостоятельно владеть вашими серверами AD / LDAP. Ваши серверы AD / LDAP по-прежнему будут отклонять любой неверный запрос авторизации LDAP от любого клиента LDAP. Чтобы обойти это, потребуется серьезный недостаток на сервере LDAP или протоколе LDAP или неправильно настроенном сервере, что является совершенно другой проблемой, чем проблема, описанная выше.

Помните, что эта проблема касается только систем Apple Lion, которые используют LDAP для аутентификации. В большинстве организаций это будет очень небольшое количество клиентов. Сервер Apple Lion может быть более уязвимым, но Apple необходимо уточнить эту проблему, и они пока не очень готовы к этой проблеме. Можете ли вы представить, что RedHat так долго сдерживал информацию об общеизвестной уязвимости?

Стефан Ласевский
источник
3

Проблема с уязвимостью довольно хорошо объяснена в статье, связанной с slashdot.

Истинная проблема заключается в том, что как только кто-то попадает на любой компьютер Lion в сети, который использует LDAP в качестве метода авторизации, вы можете прочитать содержимое каталога LDAP. Что даст вам доступ ко всем учетным записям в сети, которые используют центральную аутентификацию. Кроме того , это дает вам доступ к чему - либо обеспеченному системе LDAP авторизации. По сути, теперь вы владеете всем в этой сети.

В качестве примечания, мне любопытно, если это ошибка в авторизации LDAP или базовой (возможно, kerboros) системе аутентификации.

Кроме того, если вы не используете LDAP в качестве источника авторизации (OpenLDAP, Active Directory, NDS и т. Д.), Это на вас не влияет.

Чтобы ответить на ваш конкретный вопрос:

Может кто-нибудь объяснить точно, что обеспечивается OpenLDAP

Ответ «Это зависит ...» от того, что ваша ИТ-инфраструктура настроила для использования LDAP для авторизации.

Zypher
источник
3
Кроме того, он дает вам доступ ко всему, что защищено системой авторизации LDAP. - Как можно взять сломанный клиент LDAP (или настроенный со злым умыслом клиент LDAP) и использовать его для получения доступа к ресурсам, защищенным LDAP? Разве это не требует недостатка в протоколе LDAP или на самом сервере LDAP?
Стефан Ласевский
Чтобы было ясно, мои вопросы касаются других ресурсов в сети («По сути, теперь вы владеете всем в этой сети»).
Стефан Ласевски
Вы уверены, что действительно можете прочитать / вывести содержимое каталога? Как это будет достигнуто? Kerberos не требуется в настройках OSX. Клиент, принимающий недопустимого пользователя как подлинного, не означает, что сервер примет его как аутентифицированного. Если сервер LDAP не разрешает анонимное чтение, а пользователь не предоставил действительный пароль, то как они смогут что-либо прочитать?
Зоредаче
Это каталог. Конечно, пользователи могут читать вещи в каталогах. Вы можете прочитать атрибут userPassword без привязки?
jldugger
@jldugger, В моем каталоге (не OD) вы даже не можете получить список пользователей без успешной привязки. Хотя я не очень хорошо знаю OSX, создает ли он набор учетных данных для каждой машины (например, AD), я не думал, что это так, но могу ошибаться. Если для этой машины нет учетных данных и Apple не делает глупостей, таких как хранение обратимой копии пароля, тогда я не знаю, как ошибка кэширования клиента означает, что вы получаете бесплатный доступ к каталогу.
Зоредаче