PowerProtect DPシリーズ アプライアンスおよびIDPA:Appliance Configuration ManagerでLDAP匿名ディレクトリー アクセスが許可されている

Riepilogo: IDPAバージョン2.7.1を実行しているDP4400で次の脆弱性が報告されました。 Lightweight Directory Access Protocol (LDAP)を使用して、ユーザー、グループなどに関する情報を取得できます。 このシステム上のLDAPサービスでは、匿名接続が可能です。悪意のあるユーザーがこの情報にアクセスできると、さらなる攻撃が開始される可能性があります。 ...

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Sintomi

お客様は、内部LDAPでIDPA DP4400システムを使用しており、IDPAシステムでセキュリティ スキャンを実行した後に、LDAP匿名バインドによるセキュリティの問題が発生しています。

Causa

ACMには、LDAP匿名ディレクトリー アクセス権があるため、悪意のあるユーザーがユーザー、グループなどにアクセスできます

Risoluzione

メモ: ACMでLDAP匿名ルックアップを無効化すると、IDPAソフトウェア バージョン2.7.3以前の現在のACMパスワード変更ワークフローでコード例外がトリガーされます。このセキュリティ ソリューションの実装後にパスワードの変更が必要な場合は、KB 000212941に従って、ACMでLDAP匿名検索を再度有効にしてください。パスワードの変更が正常に完了すると、LDAP匿名検索を再度無効にすることができます。


Appliance Configuration ManagerでLDAP匿名ディレクトリー アクセス権を無効にするには、次の手順を実行します。

1.ACMにSSH接続し、「root」ユーザーとしてログインします。


2. systemctl restart slapdコマンドを使用して、LDAPを再起動します。

3.次のコマンドを使用して、ldifファイルを作成します。
  
vi /etc/openldap/ldap_disable_bind_anon.ldif

ファイルに次のコンテンツを貼り付けます。 
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon

dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc

次に、ACMで次のコマンドを実行します。
  
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif 

サンプル出力 
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"

modifying entry "cn=config"

modifying entry "olcDatabase={-1}frontend,cn=config"

4.次のコマンドを実行して、修正プログラムが配置されていることをテストします。

バージョン2.6以降では、次のコマンドを実行します。 
ldapsearch -x -b "dc=idpa,dc=local" "*" -h  |awk '/dn: / {print $2}'

バージョン2.5以降では、次のコマンドを実行します。 
ldapsearch -x -b "dc=idpa,dc=com" "*" -h  |awk '/dn: / {print $2}'

出力例: 
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
        additional info: anonymous bind disallowed

Informazioni aggiuntive

メモ: 上記のKBに従った後に問題が報告されました。

ACMでLDAP匿名ルックアップを無効化すると、IDPAソフトウェア バージョン2.7.3以前の現在のACMパスワード変更ワークフローでコード例外がトリガーされます。LDAP匿名アクセスを無効化した後にアプライアンスでパスワードの変更が必要な場合は、記事000212941に従って、ACMでLDAP匿名ルックアップを再度有効にしてください。パスワードの変更が正常に完了すると、LDAP匿名検索を再度無効にすることができます。

image.png
パスワードの変更が必要な場合は、 記事000212941に従って、ACMでLDAP匿名検索を再度有効にしてください。パスワードの変更が正常に完了すると、LDAP匿名検索を再度無効にすることができます。

Prodotti interessati

PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software

Prodotti

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione:  7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.