Verktøy og IDPA for PowerProtect DP-serien: LDAP Anonymous Directory Access Allowed on Appliance Configuration Manager.
Summary: En kunde rapporterte følgende sårbarhet på deres DP4400 som kjører IDPA versjon 2.7.1. Lightweight Directory Access Protocol (LDAP) kan brukes til å gi informasjon om brukere, grupper osv. LDAP-tjenesten på dette systemet tillater anonyme tilkoblinger. Tilgang til denne informasjonen fra ondsinnede brukere kan hjelpe dem med å starte ytterligere angrep. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Kunden bruker et IDPA DP4400-system med intern LDAP, og de opplever anonyme problemer med LDAP-binding etter å ha utført en sikkerhetsskanning på IDPA-systemet.
Cause
ACM har LDAP anonym katalogtilgang som resulterer i ondsinnede brukere kan få tilgang til brukere, grupper etc.
Resolution
MERK: Etter deaktivering av LDAP anonymt oppslag i ACM utløser det et kodeunntak i den gjeldende arbeidsflyten for endring av ACM-passord på eller før IDPA-programvareversjon 2.7.3. Hvis det kreves en passordendring etter at du har implementert denne sikkerhetsløsningen, må du følge KB-000212941 for å aktivere LDAP anonymt oppslag i ACM på nytt. Når passordendringen er fullført, kan LDAP anonym oppslag deaktiveres på nytt.
Bruk følgende trinn for å deaktivere LDAP anonym katalogtilgang på Appliance Configuration Manager.
1. Åpne SSH på ACM, og logg på som rotbruker.
2. Start LDAP på nytt ved hjelp av følgende kommando: systemctl restart
3. Opprett ldif-fil ved hjelp av følgende kommando:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Lim inn følgende innhold i filen:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Kjør deretter følgende kommando på ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Eksempel på utdata
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Kjør følgende kommando for å teste reparasjonen:
På versjon 2.6 og nyere kjører du følgende kommando:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
På versjon 2.5 og under kjører du følgende kommando:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Eksempel på utdata:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
MERK: Det har blitt rapportert et problem etter at du har fulgt kb-en ovenfor.
Etter deaktivering av LDAP anonymt oppslag i ACM utløser det et kodeunntak i den gjeldende arbeidsflyten for endring av ACM-passord på eller før IDPA-programvareversjon 2.7.3. Hvis passordendring kreves på verktøyet etter deaktivering av LDAP anonym tilgang, må du følge artikkel 000212941 for å aktivere LDAP anonymt oppslag i ACM på nytt. Når passordendringen er fullført, kan LDAP anonym oppslag deaktiveres på nytt.
Hvis det er nødvendig med en passordendring, kan du følge artikkel 000212941 for å aktivere LDAP anonymt oppslag i ACM på nytt. Når passordendringen er fullført, kan LDAP anonym oppslag deaktiveres på nytt.
Etter deaktivering av LDAP anonymt oppslag i ACM utløser det et kodeunntak i den gjeldende arbeidsflyten for endring av ACM-passord på eller før IDPA-programvareversjon 2.7.3. Hvis passordendring kreves på verktøyet etter deaktivering av LDAP anonym tilgang, må du følge artikkel 000212941 for å aktivere LDAP anonymt oppslag i ACM på nytt. Når passordendringen er fullført, kan LDAP anonym oppslag deaktiveres på nytt.
Hvis det er nødvendig med en passordendring, kan du følge artikkel 000212941 for å aktivere LDAP anonymt oppslag i ACM på nytt. Når passordendringen er fullført, kan LDAP anonym oppslag deaktiveres på nytt.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.