Устройства PowerProtect DP Series и IDPA. Анонимный доступ к каталогу LDAP разрешен в Appliance Configuration Manager.
Summary: Заказчик сообщил о следующей уязвимости в DP4400, работающей под управлением IDPA версии 2.7.1. Протокол LDAP (Lightweight Directory Access Protocol) может использоваться для предоставления информации о пользователях, группах и т. д. Служба LDAP в этой системе разрешает анонимные подключения. Доступ к этой информации злоумышленниками может помочь им в запуске дальнейших атак. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Заказчик использует систему IDPA DP4400 с внутренним LDAP и сталкивается с проблемой безопасности анонимной привязки LDAP после выполнения проверки безопасности в системе IDPA.
Cause
ACM имеет анонимный доступ к каталогу LDAP, что позволяет злоумышленникам получать доступ к пользователям, группам и т. д.
Resolution
ПРИМЕЧАНИЕ. После отключения анонимного поиска LDAP в ACM запускается исключение кода в текущем рабочем процессе, который изменяет пароль ACM, в программном обеспечении IDPA версии 2.7.3 или до нее. Если после внедрения этого решения для безопасности потребуется изменение пароля, следуйте инструкциям в статье базы знаний 000212941, чтобы повторно активировать анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
Выполните следующие действия, чтобы отключить анонимный доступ к каталогу LDAP в Appliance Configuration Manager.
1. Подключитесь по SSH к ACM и выполните вход с учетной записью пользователя «root».
2. Перезапустите LDAP с помощью следующей команды: systemctl restart slapd
3. Создайте файл ldif с помощью следующей команды:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Вставьте в файл следующее содержимое:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Затем выполните следующую команду в ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Пример результата
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Выполните следующую команду, чтобы проверить, что исправление установлено:
В версиях 2.6 и выше выполните следующую команду:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
В версиях 2.5 и ниже выполните следующую команду:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Пример вывода:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
ПРИМЕЧАНИЕ. Проблема была обнаружена после выполнения инструкций, описанных в вышеуказанной статье базы знаний.
После отключения анонимного поиска LDAP в ACM запускается исключение кода в текущем рабочем процессе, который изменяет пароль ACM, в программном обеспечении IDPA версии 2.7.3 или до нее. Если после отключения анонимного доступа LDAP на устройстве требуется изменение пароля, следуйте инструкциям в статье 000212941, чтобы повторно включить анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
Если требуется изменение пароля, следуйте инструкциям в статье 000212941, чтобы повторно включить анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
После отключения анонимного поиска LDAP в ACM запускается исключение кода в текущем рабочем процессе, который изменяет пароль ACM, в программном обеспечении IDPA версии 2.7.3 или до нее. Если после отключения анонимного доступа LDAP на устройстве требуется изменение пароля, следуйте инструкциям в статье 000212941, чтобы повторно включить анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
Если требуется изменение пароля, следуйте инструкциям в статье 000212941, чтобы повторно включить анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.