Cosa diavolo sta realmente succedendo in questi report sulle vulnerabilità di LDAP Lion?

Basta leggere una discussione Slashdot sulla rottura LDAP su OSX. Qualcuno può spiegare esattamente cosa è protetto da OpenLDAP e perché qualcosa di diverso dai dati memorizzati su una macchina Lion potrebbe essere a rischio?

Una citazione dall'articolo:

"Come tester della penna, una delle prime cose che facciamo è attaccare il server LDAP", ha affermato Rob Graham, CEO della società di revisione Errata Security. “Una volta che possediamo un server LDAP possediamo tutto. Posso raggiungere qualsiasi laptop (in un'organizzazione) e accedervi. "

Come si passa dall'hacking di un server LDAP mac casuale alla proprietà dell'intera azienda?

Non allarmarti. Questa non è una grande minaccia per le reti aziendali, come suggerito da questo articolo in The Register .

Apple Lion è nuovo, e quindi questo bug sta ottenendo una quantità sproporzionata di attenzione rispetto a difetti simili su altri sistemi operativi. Ecco alcune descrizioni più tranquille di questo stesso problema:

• " Mac OS X Lion non riesce a controllare le password durante l'autenticazione tramite LDAP ".
• Paul Ducklin di nakedsecurity.sophos.com ha scritto un pezzo più ragionato su questo problema e sul clamore dietro.

Questo è un exploit locale su un sistema Apple Lion che interessa solo quel sistema. Apple non ha ancora fornito alcun dettaglio. Ecco come capisco il problema: se qualcuno accede correttamente a un sistema Apple Lion, chiunque può accedere allo stesso sistema con qualsiasi password. Questo è un problema serio per quel sistema, ma il danno è per lo più limitato a quel particolare sistema. Sfortunatamente quel sistema ora è meno affidabile e potrebbe essere sulla tua rete.

Questo problema NON consente a un hacker di possedere i tuoi server AD / LDAP da solo. I server AD / LDAP rifiuteranno comunque qualsiasi richiesta di autorizzazione LDAP errata da qualsiasi client LDAP. Per ovviare a questo, occorrerebbe un grosso difetto sul server LDAP o sul protocollo LDAP o su un server configurato in modo errato, il che è un problema completamente diverso dal problema sopra descritto.

Tieni presente che questo problema riguarda solo i sistemi Apple Lion che utilizzano LDAP per l'autenticazione. Nella maggior parte delle organizzazioni, questo sarà un numero molto piccolo di clienti. Un server Apple Lion potrebbe essere più vulnerabile, ma Apple ha bisogno di approfondire il problema e non sono ancora stati molto disponibili su questo problema. Riesci a immaginare RedHat che trattiene le informazioni su una vulnerabilità di dominio pubblico per così tanto tempo?

Il problema con la vulnerabilità è abbastanza ben spiegato nell'articolo collegato da slashdot.

Il vero problema è che una volta che qualcuno accede a qualsiasi macchina Lion sulla rete che utilizza LDAP come metodo di autorizzazione, è possibile leggere il contenuto della directory LDAP. Che ti darebbe accesso a tutti gli account sulla rete che utilizzano l'autenticazione centrale. Inoltre ti dà accesso a tutto ciò che è protetto dal sistema di autorizzazione LDAP. Fondamentalmente, ora possiedi tutto su quella rete.

Come nota a margine, sono curioso di sapere se si tratta di un bug nell'autorizzazione LDAP o nel sistema di autenticazione sottostante (probabilmente kerboros).

Inoltre, se non si utilizza LDAP come fonte di autorizzazione (OpenLDAP, Active Directory, NDS, ecc.), Ciò non viene effettuato.

Per rispondere a una domanda specifica:

Qualcuno può spiegare esattamente cosa è protetto da OpenLDAP

La risposta è "Dipende ..." da ciò che la tua infrastruttura IT ha impostato per utilizzare LDAP per l'autorizzazione.