Какого черта в действительности происходит в этих отчетах об уязвимостях Lion LDAP?

Просто прочитайте ветку Slashdot о нарушении работы LDAP в OSX. Может кто-нибудь объяснить, что именно обеспечивается OpenLDAP и почему может подвергаться риску что-либо кроме данных, хранящихся на компьютере Lion?

Цитата из статьи:

«В качестве ручных тестеров мы в первую очередь атакуем сервер LDAP», - говорит Роб Грэм, генеральный директор аудиторской фирмы Errata Security. «Когда у нас есть сервер LDAP, у нас есть все. Я могу подойти к любому ноутбуку (в организации) и войти в него ».

Как можно перейти от взлома случайного LDAP-сервера Mac к владению всем предприятием?

Не пугайся. Это не огромная угроза корпоративным сетям, о которой говорится в этой статье в The Register .

Apple Lion является новым, и, таким образом, эта ошибка получает непропорциональное количество внимания по сравнению с аналогичными недостатками в других операционных системах. Вот некоторые более спокойные описания этой же проблемы:

• « Mac OS X Lion не может проверить пароли при аутентификации через LDAP ».
• Пол Даклин из nakedsecurity.sophos.com написал более аргументированную статью об этой проблеме и ее шумихе.

Это локальный эксплойт в системе Apple Lion, который влияет только на эту систему. Apple пока не предоставила каких-либо подробностей. Вот как я понимаю проблему: если кто-то один раз успешно входит в систему Apple Lion, то любой другой может войти в ту же систему с любым паролем. Это серьезная проблема для этой системы, но ущерб в основном ограничен этой конкретной системой. К сожалению, эта система теперь менее надежна и может быть включена в вашу сеть.

Эта проблема НЕ позволяет хакеру самостоятельно владеть вашими серверами AD / LDAP. Ваши серверы AD / LDAP по-прежнему будут отклонять любой неверный запрос авторизации LDAP от любого клиента LDAP. Чтобы обойти это, потребуется серьезный недостаток на сервере LDAP или протоколе LDAP или неправильно настроенном сервере, что является совершенно другой проблемой, чем проблема, описанная выше.

Помните, что эта проблема касается только систем Apple Lion, которые используют LDAP для аутентификации. В большинстве организаций это будет очень небольшое количество клиентов. Сервер Apple Lion может быть более уязвимым, но Apple необходимо уточнить эту проблему, и они пока не очень готовы к этой проблеме. Можете ли вы представить, что RedHat так долго сдерживал информацию об общеизвестной уязвимости?

Проблема с уязвимостью довольно хорошо объяснена в статье, связанной с slashdot.

Истинная проблема заключается в том, что как только кто-то попадает на любой компьютер Lion в сети, который использует LDAP в качестве метода авторизации, вы можете прочитать содержимое каталога LDAP. Что даст вам доступ ко всем учетным записям в сети, которые используют центральную аутентификацию. Кроме того , это дает вам доступ к чему - либо обеспеченному системе LDAP авторизации. По сути, теперь вы владеете всем в этой сети.

В качестве примечания, мне любопытно, если это ошибка в авторизации LDAP или базовой (возможно, kerboros) системе аутентификации.

Кроме того, если вы не используете LDAP в качестве источника авторизации (OpenLDAP, Active Directory, NDS и т. Д.), Это на вас не влияет.

Чтобы ответить на ваш конкретный вопрос:

Может кто-нибудь объяснить точно, что обеспечивается OpenLDAP

Ответ «Это зависит ...» от того, что ваша ИТ-инфраструктура настроила для использования LDAP для авторизации.