これらのLionLDAP脆弱性レポートで実際に何が起こっているのでしょうか。
OSXでのLDAPの破損について スラッシュドットスレッド を読んでください。 OpenLDAPによって保護されているものと、Lionマシンに保存されているデータ以外のものが危険にさらされる理由を正確に説明できる人はいますか?
記事からの引用:
「ペンテスターとして、私たちが最初に行うことの1つは、LDAPサーバーを攻撃することです」と監査会社ErrataSecurityのCEOであるRobGraham氏は述べています。 「LDAPサーバーを所有すると、すべてを所有します。 (組織内の)任意のラップトップに近づいてログインできます。」
ランダムなMacLDAPサーバーをハッキングすることから、企業全体を所有することへとどのように移行しますか?
心配しないでください。これはエンタープライズネットワークに対する大きな脅威ではありません。これは The Registerのこの記事 によって示唆されています。
Apple Lionは新しいので、他のオペレーティングシステムの同様の欠陥と比較すると、このバグは不釣り合いな量の注目を集めています。これは、この同じ問題のより穏やかな説明です。
- " Mac OS X LionはLDAP経由で認証するときにパスワードのチェックに失敗します "。
- Nakedsecurity.sophos.comのPaulDucklinは、この問題とその背後にある誇大宣伝について より合理的な の記事を書いています。
これは、Apple Lionシステムでのローカルエクスプロイトであり、そのシステムにのみ影響します。Appleは、まだ詳細を提供していません。問題を理解する方法は次のとおりです。誰かがApple Lionシステムに正常にログインすると、他の誰もが任意のパスワードで同じシステムにログインできます。これはそのシステムにとって深刻な問題ですが、被害はほとんどその特定のものに限定されます。残念ながら、そのシステムは現在信頼性が低く、ネットワーク上にある可能性があります。
この問題では、ハッカーがAD/LDAPサーバーを単独で所有することはできません。 AD/LDAPサーバーは、LDAPクライアントからの誤ったLDAP認証要求を引き続き拒否します。これを回避するには、LDAPサーバー、LDAPプロトコル、またはサーバーの構成ミスに大きな欠陥が必要になります。これは、上記の問題とはまったく異なる問題です。
この問題は、認証にLDAPを使用するApple Lionシステムにのみ影響することに注意してください。ほとんどの組織では、これは非常に少数のクライアントになります。Apple = Lionサーバーはより脆弱かもしれませんが、Appleは問題について詳しく説明する必要があり、まだこの問題についてはあまり発表されていません。RedHatが公に知られている脆弱性に関する情報を差し控えていると想像できますか?こんなに長い間?
脆弱性の問題は、スラッシュドットでリンクされた記事でかなりよく説明されています。
本当の問題は、承認方法としてLDAPを使用しているネットワーク上のLionマシンに誰かがアクセスすると、LDAPディレクトリの内容を読み取ることができるということです。これにより、中央認証を使用するネットワーク上のすべてのアカウントにアクセスできるようになります。さらに、LDAP認証システムによってすべてにアクセスできますsecured。基本的に、あなたは今そのネットワーク上のすべてを所有しています。
ちなみに、これがLDAP認証のバグなのか、それとも基盤となる(おそらくkerboros)認証システムのバグなのか興味があります。
また、認証ソースとしてLDAP(OpenLDAP、Active Directory、NDSなど)を使用していない場合は、この影響を受けません。
特定の質問に答えるには:
誰もがOpenLDAPによって保護されているものを正確に説明できますか
答えは、ITインフラストラクチャが認証にLDAPを使用するように設定した内容によって異なります。