Urządzenia PowerProtect serii DP i IDPA: Anonimowy dostęp do katalogu LDAP jest dozwolony w Appliance Configuration Manager.
Riepilogo: Klient zgłosił następującą lukę w zabezpieczeniach w DP4400 z IDPA w wersji 2.7.1. Protokół LDAP (Lightweight Directory Access Protocol) może służyć do dostarczania informacji o użytkownikach, grupach itp. Usługa LDAP w tym systemie umożliwia połączenia anonimowe. Uzyskanie dostępu do tych informacji przez złośliwych użytkowników może im ułatwić rozpoczęcie dalszych ataków. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Klient używa systemu IDPA DP4400 z wewnętrznym LDAP i po sprawdzeniu zabezpieczeń systemu IDPA znajduje lukę w zabezpieczeniach związaną z anonimowym wiązaniem LDAP.
Causa
ACM ma anonimowy dostęp do katalogu LDAP, dzięki czemu złośliwi użytkownicy mogą uzyskać dostęp do użytkowników, grup itp.
Risoluzione
UWAGA: Po wyłączeniu wyszukiwania anonimowego LDAP w programie ACM wyzwala on wyjątek kodu w bieżącym przepływie pracy zmieniania haseł ACM w oprogramowaniu IDPA w wersji 2.7.3 lub przed nią. Jeśli po wdrożeniu tego rozwiązania zabezpieczającego wymagana jest zmiana hasła, postępuj zgodnie z 000212941 bazy wiedzy, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
Wykonaj następujące czynności, aby wyłączyć anonimowy dostęp do katalogu LDAP w Appliance Configuration Manager.
1. Otwórz SSH w ACM i zaloguj się jako użytkownik root.
2. Uruchom ponownie LDAP przy użyciu następującego polecenia: systemctl restart slapd
3. Utwórz plik ldif, korzystając z poniższego polecenia:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Wklej w pliku następującą zawartość:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Następnie uruchom następujące polecenie w programie ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Przykładowe dane wyjściowe
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Uruchom następujące polecenie, aby przetestować poprawkę:
w wersjach 2.6 i nowszych uruchom następujące polecenie:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
W wersjach 2.5 i starszych uruchom następujące polecenie:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Przykładowe dane wyjściowe:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
UWAGA: Po wykonaniu powyższej bazy wiedzy zgłoszono problem.
Po wyłączeniu wyszukiwania anonimowego LDAP w programie ACM wyzwala on wyjątek kodu w bieżącym przepływie pracy zmieniania haseł ACM w oprogramowaniu IDPA w wersji 2.7.3 lub przed nią. W przypadku, gdy po wyłączeniu dostępu anonimowego LDAP na urządzeniu wymagana jest zmiana hasła, postępuj zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
W przypadku konieczności zmiany hasła należy postępować zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
Po wyłączeniu wyszukiwania anonimowego LDAP w programie ACM wyzwala on wyjątek kodu w bieżącym przepływie pracy zmieniania haseł ACM w oprogramowaniu IDPA w wersji 2.7.3 lub przed nią. W przypadku, gdy po wyłączeniu dostępu anonimowego LDAP na urządzeniu wymagana jest zmiana hasła, postępuj zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
W przypadku konieczności zmiany hasła należy postępować zgodnie z artykułem 000212941, aby ponownie włączyć wyszukiwanie anonimowe LDAP w ACM. Po pomyślnym zakończeniu zmiany hasła można ponownie wyłączyć wyszukiwanie anonimowe LDAP.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.