题 这些Lion LDAP漏洞报告真正发生了什么?


刚看完一个 Slashdot线程 在OSX上的LDAP破坏。任何人都可以准确地解释OpenLDAP正在保护什么以及为什么除Lion机器上存储的数据之外的任何其他东西都可能存在风险?

文章的引用:

“作为笔测试者,我们做的第一件事就是攻击LDAP服务器,”审计公司Errata Security的首席执行官Rob Graham说。 “一旦我们拥有一台LDAP服务器,我们拥有一切。我可以走到任何笔记本电脑(在一个组织中)并登录它。“

如何从黑客攻击随机的mac LDAP服务器到拥有整个企业?


8
2017-08-29 21:32




Slashdot,The Register和MacRumors充满了错误信息和炒作。带着他们的陈述,直到你在一个有信誉的来源上阅读它。这些文章对细节非常清楚,如果这会影响到账户以外的任何内容,那么会产生相当大的混淆 本地机器。有传言说这个问题是“企业安全噩梦”,或者可能允许用户拥有LDAP服务器,但这似乎不太可能。破碎和自定义LDAP客户端并不新鲜。 - Stefan Lasiewski
这是一个很好的问题。几乎我读过的每篇文章都非常缺乏细节。 - Zoredache


答案:


不要惊慌。 这对企业网络来说并不是一个巨大的威胁 这篇文章在The Register中

Apple Lion是新的,因此与其他操作系统上的类似漏洞相比,这个漏洞引起了不成比例的关注。以下是对同一问题的一些更平静的描述:

这是Apple Lion系统上的本地漏洞,仅影响该系统。 Apple尚未提供任何细节。以下是我理解问题的方法:如果有人成功登录Apple Lion系统,那么其他任何人都可以使用任何密码登录同一系统。这对于该系统来说是一个严重的问题,但损害主要限于该特定系统。不幸的是,该系统现在不太受信任,可能在您的网络上。

此问题不允许黑客自己拥有您的AD / LDAP服务器。您的AD / LDAP服务器仍将拒绝来自任何LDAP客户端的任何不正确的LDAP授权请求。要绕过这一点,将需要LDAP服务器或LDAP协议或配置错误的服务器上的主要缺陷,这与上述问题完全不同。

请记住,此问题仅影响使用LDAP进行身份验证的Apple Lion系统。在大多数组织中,这将是非常少数的客户。 Apple Lion服务器可能更容易受到攻击,但Apple需要详细说明这个问题,但他们还没有就此问题做出决定。您能想象RedHat长时间阻止公开漏洞的信息吗?


8
2017-08-30 00:51





在slashdot链接的文章中很好地解释了漏洞的问题。

真正的问题是,一旦有人进入使用LDAP作为授权方法的网络上的任何Lion机器,您就可以读取LDAP目录的内容。这将允许您访问网络上使用中央身份验证的所有帐户。此外,它可以让您访问任何东西 安全由LDAP授权系统。基本上,您现在拥有该网络上的所有内容。

作为旁注,我很好奇它是否是LDAP授权或底层(可能是kerboros)认证系统中的错误。

此外,如果您不使用LDAP作为授权源(OpenLDAP,Active Directory,NDS等),那么您不会受此影响。

为了回答你的具体问题:

任何人都可以准确地解释OpenLDAP正在保护什么

答案是“这取决于......”您的IT基础架构已设置为使用LDAP进行授权。


3
2017-08-29 21:45



此外,它还允许您访问LDAP授权系统保护的任何内容。  - 如何使用破坏的LDAP客户端(或恶意定制的LDAP客户端)并使用它来访问受LDAP保护的资源?这不需要LDAP协议中的缺陷或LDAP服务器本身吗? - Stefan Lasiewski
为了清楚起见,我的问题与网络上的其他资源有关(“基本上,你现在拥有该网络上的所有资源。”)。 - Stefan Lasiewski
您确定可以实际读取/转储目录的内容吗?这将如何实现? OSX设置中不需要Kerberos。将无效用户接受为可信的客户端并不意味着服务器会将其视为已通过身份验证。如果LDAP服务器不允许匿名读取,并且用户没有提供有效密码,那么他们将如何读取任何内容? - Zoredache
这是一个目录。当然,用户可以阅读目录中的内容。您是否能够在没有绑定的情况下读取userPassword属性? - jldugger
@jldugger,在我的目录(不是OD)上,你甚至无法获得没有成功绑定的用户列表。我不太了解OSX,它是否构建了一套机器的凭证(如AD),我认为它没有,但我可能是错的。如果没有机器的凭据,并且Apple没有像存储密码的可逆副本那样愚蠢,那么我不知道客户端缓存错误意味着您可以免费访问该目录。 - Zoredache