PowerProtect DP Series Appliance e IDPA: LDAP Anonymous Directory Access consentito in Appliance Configuration Manager.
Summary: Un cliente segnala la seguente vulnerabilità sul proprio DP4400 con IDPA versione 2.7.1. Il protocollo LDAP (Lightweight Directory Access Protocol) può essere utilizzato per fornire informazioni su utenti, gruppi e così via. Il servizio LDAP su questo sistema consente connessioni anonime. L'accesso a queste informazioni da parte di utenti malevoli può aiutarli a lanciare ulteriori attacchi. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Il cliente utilizza un sistema IDPA DP4400 con LDAP interno e riscontra un problema di sicurezza di binding LDAP anonimo dopo aver eseguito una scansione della sicurezza sul sistema IDPA.
Cause
ACM dispone della funzione LDAP Anonymous Directory Access, con cui gli utenti malevoli possono accedere a utenti, gruppi e così via.
Resolution
NOTA: Dopo aver disabilitato la ricerca anonima LDAP in ACM, attiva un'eccezione di codice nel flusso di lavoro di modifica della password ACM corrente in o prima della versione del software IDPA 2.7.3. Nel caso in cui sia necessaria una modifica della password dopo l'implementazione di questa soluzione di sicurezza, seguire le 000212941 della KB per riabilitare la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Utilizzare la procedura riportata di seguito per disabilitare LDAP Anonymous Directory Access in Appliance Configuration Manager.
1. Aprire una sessione SSH in ACM e accedere come utente "root".
2. Riavviare LDAP utilizzando il seguente comando: systemctl restart slapd
3. Creare un file ldif utilizzando il seguente comando:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Incollare il seguente contenuto nel file:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Quindi eseguire il seguente comando su ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Esempi di output
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Eseguire il comando seguente per testare che la correzione sia stata impostata:
Nelle versioni 2.6 e successive, eseguire il comando seguente:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Nelle versioni 2.5 e successive, eseguire il seguente comando:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Output di esempio:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
NOTA: È stato segnalato un problema dopo aver seguito il precedente articolo della KB.
Dopo aver disabilitato la ricerca anonima LDAP in ACM, attiva un'eccezione di codice nel flusso di lavoro di modifica della password ACM corrente in o prima della versione del software IDPA 2.7.3. Nel caso in cui la modifica della password sia necessaria sull'appliance dopo la disabilitazione dell'accesso anonimo LDAP, seguire l'articolo 000212941 per riabilitare la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Nel caso in cui sia necessaria una modifica della password, seguire l'articolo 000212941 per abilitare nuovamente la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Dopo aver disabilitato la ricerca anonima LDAP in ACM, attiva un'eccezione di codice nel flusso di lavoro di modifica della password ACM corrente in o prima della versione del software IDPA 2.7.3. Nel caso in cui la modifica della password sia necessaria sull'appliance dopo la disabilitazione dell'accesso anonimo LDAP, seguire l'articolo 000212941 per riabilitare la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Nel caso in cui sia necessaria una modifica della password, seguire l'articolo 000212941 per abilitare nuovamente la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.