Was zum Teufel ist in diesen Lion LDAP-Schwachstellenberichten wirklich los?

Lesen Sie einfach einen Slashdot-Thread zur LDAP-Zerbrochenheit unter OSX. Kann jemand genau erklären, was durch OpenLDAP gesichert wird und warum etwas anderes als auf einem Lion-Computer gespeicherte Daten gefährdet sein könnten?

Ein Zitat aus dem Artikel:

"Als Pen-Tester greifen wir als erstes den LDAP-Server an", sagte Rob Graham, CEO der Wirtschaftsprüfungsgesellschaft Errata Security. „Sobald wir einen LDAP-Server besitzen, besitzen wir alles. Ich kann zu jedem Laptop (in einer Organisation) gehen und mich dort anmelden. “

Wie geht man vom Hacken eines zufälligen Mac-LDAP-Servers zum Besitz des gesamten Unternehmens?

Sei nicht beunruhigt. Dies ist keine große Bedrohung für Unternehmensnetzwerke, die in diesem Artikel im Register vorgeschlagen wird .

Apple Lion ist neu und daher wird dieser Fehler im Vergleich zu ähnlichen Fehlern auf anderen Betriebssystemen überproportional beachtet. Hier sind einige ruhigere Beschreibungen des gleichen Problems:

• " Mac OS X Lion kann Kennwörter bei der Authentifizierung über LDAP nicht überprüfen ".
• Paul Ducklin von nackte Sicherheit.sophos.com schrieb ein begründeteres Stück über dieses Problem und den Hype dahinter.

Dies ist ein lokaler Exploit auf einem Apple Lion-System, der nur dieses System betrifft. Apple hat noch keine Details bekannt gegeben. So verstehe ich das Problem: Wenn sich jemand einmal erfolgreich bei einem Apple Lion-System anmeldet, kann sich jeder andere mit einem beliebigen Kennwort bei demselben System anmelden. Dies ist ein ernstes Problem für dieses System, aber der Schaden ist größtenteils auf dieses bestimmte System beschränkt. Leider ist dieses System jetzt weniger vertrauenswürdig und befindet sich möglicherweise in Ihrem Netzwerk.

Dieses Problem ermöglicht es einem Hacker NICHT, Ihre AD / LDAP-Server selbst zu besitzen. Ihre AD / LDAP-Server lehnen weiterhin alle falschen LDAP-Autorisierungsanforderungen von LDAP-Clients ab. Um dies zu umgehen, wäre ein schwerwiegender Fehler auf dem LDAP-Server oder dem LDAP-Protokoll oder ein falsch konfigurierter Server erforderlich. Dies ist ein völlig anderes Problem als das oben beschriebene Problem.

Beachten Sie, dass dieses Problem nur Apple Lion-Systeme betrifft, die LDAP zur Authentifizierung verwenden. In den meisten Organisationen ist dies eine sehr kleine Anzahl von Kunden. Ein Apple Lion-Server ist möglicherweise anfälliger, aber Apple muss das Problem näher erläutern, und dieses Problem ist noch nicht sehr offen. Können Sie sich vorstellen, dass RedHat Informationen über eine öffentlich bekannte Sicherheitsanfälligkeit so lange zurückhält?

Das Problem mit der Sicherheitsanfälligkeit wird in dem von slashdot verlinkten Artikel ziemlich gut erklärt.

Das eigentliche Problem besteht darin, dass Sie den Inhalt des LDAP-Verzeichnisses lesen können, sobald jemand auf einen Lion-Computer im Netzwerk gelangt, der LDAP als Autorisierungsmethode verwendet. Dadurch erhalten Sie Zugriff auf alle Konten im Netzwerk, die die zentrale Authentifizierung verwenden. Darüber hinaus erhalten Sie Zugriff auf alles, was durch das LDAP-Autorisierungssystem gesichert ist. Grundsätzlich besitzen Sie jetzt alles in diesem Netzwerk.

Als Randnotiz bin ich neugierig, ob es sich um einen Fehler in der LDAP-Autorisierung oder im zugrunde liegenden (wahrscheinlich Kerboros) Authentifizierungssystem handelt.

Wenn Sie LDAP nicht als Autorisierungsquelle verwenden (OpenLDAP, Active Directory, NDS usw.), sind Sie davon nicht betroffen.

Um Ihre spezifische Frage zu beantworten:

Kann jemand genau erklären, was durch OpenLDAP gesichert wird

Die Antwort lautet "Es hängt davon ab ...", was Ihre IT-Infrastruktur eingerichtet hat, um LDAP für die Autorisierung zu verwenden.