Qu'est-ce qui se passe vraiment dans ces rapports de vulnérabilité Lion LDAP?

Il suffit de lire un fil Slashdot sur la rupture LDAP sous OSX. Quelqu'un peut-il expliquer exactement ce qui est sécurisé par OpenLDAP et pourquoi autre chose que les données stockées sur une machine Lion pourraient être en danger?

Une citation de l'article:

"En tant que testeurs de stylo, l'une des premières choses que nous faisons est d'attaquer le serveur LDAP", a déclaré Rob Graham, PDG du cabinet d'audit Errata Security. «Une fois que nous possédons un serveur LDAP, nous possédons tout. Je peux accéder à n'importe quel ordinateur portable (dans une organisation) et me connecter. »

Comment passer du piratage d'un serveur LDAP mac aléatoire à la propriété de toute l'entreprise?

Ne vous inquiétez pas. Ce n'est pas une énorme menace pour les réseaux d'entreprise, comme le suggère cet article dans The Register .

Apple Lion est nouveau, et ce bug reçoit donc une attention disproportionnée par rapport à des défauts similaires sur d'autres systèmes d'exploitation. Voici quelques descriptions plus calmes de ce même problème:

• " Mac OS X Lion ne vérifie pas les mots de passe lors de l'authentification via LDAP ".
• Paul Ducklin de nakedsecurity.sophos.com a écrit un article plus raisonné sur ce problème et le battage médiatique derrière.

Il s'agit d'un exploit local sur un système Apple Lion qui affecte uniquement ce système. Apple n'a pas encore fourni de détails. Voici comment je comprends le problème: si quelqu'un se connecte à un système Apple Lion une fois avec succès, alors n'importe qui d'autre peut se connecter au même système avec n'importe quel mot de passe. Il s'agit d'un problème grave pour ce système, mais les dommages sont principalement limités à ce système particulier. Malheureusement, ce système est maintenant moins fiable et peut être activé sur votre réseau.

Ce problème ne permet PAS à un pirate de posséder vos serveurs AD / LDAP, en soi. Vos serveurs AD / LDAP rejetteront toujours toute demande d'autorisation LDAP incorrecte de tout client LDAP. Pour contourner cela, il faudrait une faille majeure sur le serveur LDAP ou le protocole LDAP ou un serveur mal configuré, ce qui est un problème complètement différent du problème décrit ci-dessus.

Gardez à l'esprit que ce problème affecte uniquement les systèmes Apple Lion qui utilisent LDAP pour l'authentification. Dans la plupart des organisations, ce sera un très petit nombre de clients. Un serveur Apple Lion pourrait être plus vulnérable, mais Apple doit élaborer sur le problème et ils n'ont pas encore été très ouverts sur ce problème. Pouvez-vous imaginer RedHat retenir des informations sur une vulnérabilité connue du public pendant si longtemps?

Le problème de la vulnérabilité est assez bien expliqué dans l'article lié par slashdot.

Le vrai problème est qu'une fois que quelqu'un arrive sur n'importe quelle machine Lion du réseau qui utilise LDAP comme méthode d'autorisation, vous pouvez lire le contenu du répertoire LDAP. Ce qui vous donnerait accès à tous les comptes du réseau qui utilisent l'authentification centrale. De plus, il vous donne accès à tout ce qui est sécurisé par le système d'autorisation LDAP. Fondamentalement, vous possédez maintenant tout sur ce réseau.

En remarque, je suis curieux de savoir s'il s'agit d'un bogue dans l'autorisation LDAP ou dans le système d'authentification sous-jacent (probablement kerboros).

De plus, si vous n'utilisez pas LDAP comme source d'autorisation (OpenLDAP, Active Directory, NDS, etc.), cela ne vous affecte pas.

Pour répondre à votre question spécifique:

Quelqu'un peut-il expliquer exactement ce qui est sécurisé par OpenLDAP

La réponse est "Cela dépend ..." de ce que votre infrastructure informatique a configuré pour utiliser LDAP pour l'autorisation.