Просто прочтите Тема Slashdot о поломке LDAP в OSX. Может ли кто-нибудь объяснить, что именно защищает OpenLDAP и почему что-либо, кроме данных, хранящихся на машине Lion, может оказаться под угрозой?
Цитата из статьи:
«Как пентестеры, мы в первую очередь атакуем сервер LDAP, - сказал Роб Грэм, генеральный директор аудиторской фирмы Errata Security. «Когда у нас есть LDAP-сервер, мы владеем всем. Я могу подойти к любому ноутбуку (в организации) и войти в него ».
Как перейти от взлома случайного LDAP-сервера Mac к владению всем предприятием?
Не пугайтесь. Это не серьезная угроза для корпоративных сетей, о чем свидетельствует эта статья в Регистре.
Apple Lion - новый продукт, и поэтому этой ошибке уделяется непропорционально много внимания по сравнению с аналогичными недостатками в других операционных системах. Вот несколько более спокойных описаний этой же проблемы:
Это локальный эксплойт в системе Apple Lion, который влияет только на эту систему. Apple пока не предоставила никаких подробностей. Вот как я понимаю проблему: если кто-то однажды успешно войдет в систему Apple Lion, то любой другой сможет войти в эту же систему с любым паролем. Это серьезная проблема для этой системы, но ущерб в основном ограничивается этой конкретной системой. К сожалению, эта система сейчас менее надежна и может быть в вашей сети.
Эта проблема НЕ позволяет хакеру владеть вашими серверами AD / LDAP сама по себе. Ваши серверы AD / LDAP по-прежнему будут отклонять любой неверный запрос авторизации LDAP от любого клиента LDAP. Чтобы обойти это, потребуется серьезная ошибка на сервере LDAP или протоколе LDAP или неправильно настроенный сервер, что является совершенно другой проблемой, чем проблема, описанная выше.
Имейте в виду, что эта проблема затрагивает только системы Apple Lion, которые используют LDAP для аутентификации. В большинстве организаций это будет очень небольшое количество клиентов. Сервер Apple Lion может быть более уязвимым, но Apple необходимо подробнее разобраться в проблеме, и пока они не очень-то говорили об этой проблеме. Можете ли вы представить себе, что RedHat так долго скрывает информацию об общеизвестной уязвимости?
Проблема с уязвимостью довольно хорошо объясняется в статье, на которую ссылается slashdot.
Настоящая проблема заключается в том, что как только кто-то попадает на любую машину Lion в сети, которая использует LDAP в качестве метода авторизации, вы можете прочитать содержимое каталога LDAP. Это даст вам доступ ко всем учетным записям в сети, которые используют централизованную аутентификацию. Кроме того, он дает вам доступ ко всему обеспечен системой авторизации LDAP. По сути, теперь вам принадлежит все в этой сети.
В качестве примечания, мне любопытно, является ли это ошибкой в авторизации LDAP или в базовой (возможно, Kerboros) системе аутентификации.
Кроме того, если вы не используете LDAP в качестве источника авторизации (OpenLDAP, Active Directory, NDS и т. Д.), То это на вас не влияет.
Чтобы ответить на ваш конкретный вопрос:
Может ли кто-нибудь точно объяснить, что защищено OpenLDAP?
Ответ: «Это зависит ...» от того, что ваша ИТ-инфраструктура настроила для использования LDAP для авторизации.