PowerProtect DP Series 어플라이언스 및 IDPA: Appliance Configuration Manager에서 LDAP 익명 디렉토리 액세스가 허용됨
Summary: 고객이 IDPA 버전 2.7.1을 실행하는 DP4400에서 다음 취약성을 보고했습니다. LDAP(Lightweight Directory Access Protocol)는 사용자, 그룹 등에 대한 정보를 제공하는 데 사용할 수 있습니다. 이 시스템의 LDAP 서비스는 익명 연결을 허용합니다. 악의적인 사용자가 이 정보에 액세스하면 추가 공격을 시작하는 데 도움이 될 수 있습니다. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
고객이 내부 LDAP와 함께 IDPA DP4400 시스템을 사용하고 있으며 IDPA 시스템에서 보안 검사를 수행한 후 익명의 LDAP 바인드 보안 문제가 발생합니다.
Cause
ACM에는 LDAP 익명 디렉토리 액세스 권한이 있어 악의적인 사용자가 사용자, 그룹 등에 액세스할 수 있습니다.
Resolution
참고: ACM에서 LDAP 익명 조회를 비활성화한 후 IDPA 소프트웨어 버전 2.7.3 또는 이전의 현재 ACM 암호 변경 워크플로에서 코드 예외가 트리거됩니다. 이 보안 솔루션을 구축한 후 암호 변경이 필요한 경우 KB 000212941 따라 ACM에서 LDAP 익명 조회를 다시 활성화하십시오. 암호 변경이 성공적으로 완료되면 LDAP 익명 조회를 다시 비활성화할 수 있습니다.
Appliance Configuration Manager에서 LDAP 익명 디렉토리 액세스를 비활성화하려면 다음 단계를 사용합니다.
1. ACM에서 SSH를 열고 'root' 사용자로 로그인합니다.
2. 다음 명령을 사용하여 LDAP를 재시작합니다. systemctl restart slapd
3. 다음 명령을 사용하여 ldif 파일을 생성합니다.
vi /etc/openldap/ldap_disable_bind_anon.ldif
파일에 다음 콘텐츠를 붙여넣습니다.
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
그런 다음 ACM에서 다음 명령을 실행합니다.
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
샘플 출력
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. 다음 명령을 실행하여 수정 사항이 실행되었는지 테스트합니다.
버전 2.6 이상에서는 다음 명령을 실행합니다.
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
버전 2.5 이하에서 다음 명령을 실행합니다.
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
샘플 출력:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
참고: 위의 KB를 수행한 후 문제가 보고되었습니다.
ACM에서 LDAP 익명 조회를 비활성화한 후 IDPA 소프트웨어 버전 2.7.3 또는 이전의 현재 ACM 암호 변경 워크플로에서 코드 예외가 트리거됩니다. LDAP 익명 액세스를 비활성화한 후 어플라이언스에서 암호 변경이 필요한 경우 문서 000212941 따라 ACM에서 LDAP 익명 조회를 다시 활성화하십시오. 암호 변경이 성공적으로 완료되면 LDAP 익명 조회를 다시 비활성화할 수 있습니다.
암호 변경이 필요한 경우 문서 000212941 따라 ACM에서 LDAP 익명 조회를 다시 활성화하십시오. 암호 변경이 성공적으로 완료되면 LDAP 익명 조회를 다시 비활성화할 수 있습니다.
ACM에서 LDAP 익명 조회를 비활성화한 후 IDPA 소프트웨어 버전 2.7.3 또는 이전의 현재 ACM 암호 변경 워크플로에서 코드 예외가 트리거됩니다. LDAP 익명 액세스를 비활성화한 후 어플라이언스에서 암호 변경이 필요한 경우 문서 000212941 따라 ACM에서 LDAP 익명 조회를 다시 활성화하십시오. 암호 변경이 성공적으로 완료되면 LDAP 익명 조회를 다시 비활성화할 수 있습니다.
암호 변경이 필요한 경우 문서 000212941 따라 ACM에서 LDAP 익명 조회를 다시 활성화하십시오. 암호 변경이 성공적으로 완료되면 LDAP 익명 조회를 다시 비활성화할 수 있습니다.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.