刚刚读了Slashdot 线程关于 OSX 上的 LDAP 故障。有人能确切解释 OpenLDAP 保护的是什么以及为什么除 Lion 机器上存储的数据之外的任何东西都可能面临风险吗?
文章中引用一段话:
审计公司 Errata Security 的首席执行官 Rob Graham 表示:“作为渗透测试人员,我们做的第一件事就是攻击 LDAP 服务器。一旦我们拥有了 LDAP 服务器,我们就拥有了一切。我可以走到(组织内的)任何一台笔记本电脑前并登录它。”
一个人如何从入侵随机 Mac LDAP 服务器到控制整个企业?
答案1
别惊慌。这对企业网络来说并不是一个巨大的威胁,这篇文章刊登于《The Register》。
Apple Lion 是新推出的,因此与其他操作系统上的类似缺陷相比,此错误引起了不成比例的关注。以下是有关此同一问题的一些较为冷静的描述:
- “Mac OS X Lion 通过 LDAP 进行身份验证时无法检查密码“。
- nakedsecurity.sophos.com 的 Paul Ducklin 写道更合理的有关这个问题以及其背后的炒作的文章。
这是 Apple Lion 系统上的本地漏洞,仅影响该系统。Apple 尚未提供任何详细信息。我是这样理解这个问题的:如果有人成功登录 Apple Lion 系统一次,那么其他任何人都可以使用任何密码登录同一系统。这对该系统来说是一个严重的问题,但损害主要限于该特定系统。不幸的是,该系统现在不太受信任,并且可能在您的网络上开启。
这个问题本身并不允许黑客拥有您的 AD/LDAP 服务器。您的 AD/LDAP 服务器仍将拒绝任何 LDAP 客户端的任何不正确的 LDAP 授权请求。要绕过这个问题,需要 LDAP 服务器或 LDAP 协议存在重大缺陷或服务器配置错误,这与上面描述的问题完全不同。
请记住,此问题仅影响使用 LDAP 进行身份验证的 Apple Lion 系统。在大多数组织中,这只是极少数客户端。Apple Lion 服务器可能更容易受到攻击,但 Apple 需要详细说明此问题,而且他们尚未就此问题公开。您能想象 RedHat 会隐瞒一个众所周知的漏洞信息这么长时间吗?
答案2
slashdot 链接的文章很好地解释了该漏洞的问题。
真正的问题是,一旦有人进入网络上任何使用 LDAP 作为授权方法的 Lion 机器,您就可以读取 LDAP 目录的内容。这将使您可以访问网络上使用中央身份验证的所有帐户。此外,它还允许您访问任何担保通过 LDAP 授权系统。基本上,您现在拥有该网络上的一切。
顺便说一句,我很好奇这是否是 LDAP 授权或底层(可能是 kerboros)身份验证系统中的错误。
此外,如果您没有使用 LDAP 作为授权源(OpenLDAP、Active Directory、NDS 等),那么您不会受到此影响。
回答你的具体问题:
有人能解释一下 OpenLDAP 到底保护什么吗
答案是“这取决于……”,取决于您的 IT 基础设施设置了什么来使用 LDAP 进行授权。