PowerProtect серії DP та IDPA: Анонімний доступ до каталогів LDAP дозволено в диспетчері конфігурації пристроїв.
Summary: Клієнт повідомив про наступну вразливість на своєму DP4400 під керуванням IDPA версії 2.7.1. Легкий протокол доступу до каталогів (LDAP) може використовуватися для надання інформації про користувачів, групи тощо. Служба LDAP в цій системі дозволяє анонімні з'єднання. Доступ зловмисників до цієї інформації може допомогти їм розпочати подальші атаки. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Клієнт використовує систему IDPA DP4400 із внутрішнім LDAP, і після сканування безпеки в системі IDPA у нього виникає проблема анонімної прив'язки LDAP.
Cause
ACM має анонімний доступ до каталогів LDAP, в результаті чого зловмисники можуть отримати доступ до користувачів, груп ітц.
Resolution
ПРИМІТКА: Після вимкнення анонімного пошуку LDAP в ACM він запускає виняток коду в поточному робочому процесі зміни пароля ACM на або раніше версії програмного забезпечення IDPA 2.7.3. У разі необхідності зміни пароля після впровадження цього рішення безпеки, будь ласка, дотримуйтесь KB 000212941, щоб знову ввімкнути анонімний пошук LDAP в ACM. Коли зміна пароля буде успішно завершена, анонімний пошук LDAP можна буде знову вимкнути.
Виконайте наступні кроки, щоб вимкнути анонімний доступ до каталогу LDAP у Диспетчері конфігурації пристроїв.
1. Відкрийте SSH на ACM і увійдіть як користувач "root".
2.Перезапустіть LDAP за допомогою такої команди: systemctl restart slapd
3. Створіть файл ldif за допомогою наступної команди:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Вставте у файл такий вміст:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Потім запустіть таку команду на ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Приклад виводу
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Запустіть таку команду, щоб перевірити, чи виправлення встановлено на місце:У версіях 2.6 і вище запустіть таку команду:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
У версіях 2.5 і нижче виконайте таку команду:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Приклад виводу:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedAdditional Information
ПРИМІТКА: Після дотримання вищезазначеного KB було повідомлено про проблему.
Після вимкнення анонімного пошуку LDAP в ACM він запускає виняток коду в поточному робочому процесі зміни пароля ACM на або раніше версії програмного забезпечення IDPA 2.7.3. У разі необхідності зміни пароля на посту приладу, який вимикає анонімний доступ LDAP, будь ласка, дотримуйтесь статті 000212941, щоб знову ввімкнути анонімний пошук LDAP в ACM. Коли зміна пароля буде успішно завершена, анонімний пошук LDAP можна буде знову вимкнути.
У разі необхідності зміни пароля, будь ласка, дотримуйтесь статті 000212941, щоб знову ввімкнути анонімний пошук LDAP в ACM. Коли зміна пароля буде успішно завершена, анонімний пошук LDAP можна буде знову вимкнути.
Після вимкнення анонімного пошуку LDAP в ACM він запускає виняток коду в поточному робочому процесі зміни пароля ACM на або раніше версії програмного забезпечення IDPA 2.7.3. У разі необхідності зміни пароля на посту приладу, який вимикає анонімний доступ LDAP, будь ласка, дотримуйтесь статті 000212941, щоб знову ввімкнути анонімний пошук LDAP в ACM. Коли зміна пароля буде успішно завершена, анонімний пошук LDAP можна буде знову вимкнути.
У разі необхідності зміни пароля, будь ласка, дотримуйтесь статті 000212941, щоб знову ввімкнути анонімний пошук LDAP в ACM. Коли зміна пароля буде успішно завершена, анонімний пошук LDAP можна буде знову вимкнути.
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000196092
Article Type: Solution
Last Modified: 03 May 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.