Urządzenia PowerProtect serii DP i IDPA: Anonimowy dostęp do katalogu LDAP jest dozwolony w Appliance Configuration Manager.
Summary: Klient zgłosił następującą lukę w zabezpieczeniach w DP4400 z IDPA w wersji 2.7.1. Protokół LDAP (Lightweight Directory Access Protocol) może służyć do dostarczania informacji o użytkownikach, grupach itp. Usługa LDAP w tym systemie umożliwia połączenia anonimowe. Uzyskanie dostępu do tych informacji przez złośliwych użytkowników może im ułatwić rozpoczęcie dalszych ataków. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Klient używa systemu IDPA DP4400 z wewnętrznym LDAP i po sprawdzeniu zabezpieczeń systemu IDPA znajduje lukę w zabezpieczeniach związaną z anonimowym wiązaniem LDAP.
Cause
ACM ma anonimowy dostęp do katalogu LDAP, dzięki czemu złośliwi użytkownicy mogą uzyskać dostęp do użytkowników, grup itp.
Resolution
UWAGA: Po wyłączeniu wyszukiwania anonimowego LDAP w programie ACM wyzwala on wyjątek kodu w bieżącym przepływie pracy zmieniania haseł ACM w oprogramowaniu IDPA w wersji 2.7.3 lub przed nią. Jeśli po wdrożeniu tego rozwiązania zabezpieczającego wymagana jest zmiana hasła, postępuj zgodnie z 000212941 bazy wiedzy, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
Wykonaj następujące czynności, aby wyłączyć anonimowy dostęp do katalogu LDAP w Appliance Configuration Manager.
1. Otwórz SSH w ACM i zaloguj się jako użytkownik root.
2. Uruchom ponownie LDAP przy użyciu następującego polecenia: systemctl restart slapd
3. Utwórz plik ldif, korzystając z poniższego polecenia:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Wklej w pliku następującą zawartość:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Następnie uruchom następujące polecenie w programie ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Przykładowe dane wyjściowe
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Uruchom następujące polecenie, aby przetestować poprawkę:
w wersjach 2.6 i nowszych uruchom następujące polecenie:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
W wersjach 2.5 i starszych uruchom następujące polecenie:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Przykładowe dane wyjściowe:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
UWAGA: Po wykonaniu powyższej bazy wiedzy zgłoszono problem.
Po wyłączeniu wyszukiwania anonimowego LDAP w programie ACM wyzwala on wyjątek kodu w bieżącym przepływie pracy zmieniania haseł ACM w oprogramowaniu IDPA w wersji 2.7.3 lub przed nią. W przypadku, gdy po wyłączeniu dostępu anonimowego LDAP na urządzeniu wymagana jest zmiana hasła, postępuj zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
W przypadku konieczności zmiany hasła należy postępować zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
Po wyłączeniu wyszukiwania anonimowego LDAP w programie ACM wyzwala on wyjątek kodu w bieżącym przepływie pracy zmieniania haseł ACM w oprogramowaniu IDPA w wersji 2.7.3 lub przed nią. W przypadku, gdy po wyłączeniu dostępu anonimowego LDAP na urządzeniu wymagana jest zmiana hasła, postępuj zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
W przypadku konieczności zmiany hasła należy postępować zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.