Appliance der PowerProtect DP-Serie und IDPA: Anonymer LDAP-Verzeichniszugriff auf Appliance Configuration Manager zulässig
Riepilogo: Ein/e KundIn hat die folgende Sicherheitslücke auf der DP4400 mit IDPA Version 2.7.1 gemeldet. Das Lightweight Directory Access Protocol (LDAP) kann verwendet werden, um Informationen über NutzerInnen, Gruppen usw. bereitzustellen. Der LDAP-Dienst auf diesem System ermöglicht anonyme Verbindungen. Der Zugriff auf diese Informationen durch böswillige Akteure kann weitere Angriffe unterstützen. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Der/die KundIn verwendet ein IDPA-DP4400-System mit internem LDAP und es trat ein anonymes LDAP-Verbindungssicherheitsproblem auf, nachdem auf dem IDPA-System ein Sicherheitsscan durchgeführt wurde.
Causa
ACM verfügt über anonymen LDAP-Verzeichniszugriff, was dazu führt, dass böswillige Akteure Zugriff auf NutzerInnen, Gruppen usw.erhalten können.
Risoluzione
HINWEIS: Nach dem Deaktivieren der anonymen LDAP-Suche in ACM löst dies eine Codeausnahme im aktuellen ACM-Passwortänderungsworkflow auf oder vor IDPA-Softwareversion 2.7.3 aus. Falls nach der Implementierung dieser Sicherheitslösung eine Passwortänderung erforderlich ist, befolgen Sie die Wissensdatenbank-000212941, um die anonyme LDAP-Suche in ACM erneut zu aktivieren. Wenn die Passwortänderung erfolgreich abgeschlossen wurde, kann die anonyme LDAP-Suche erneut deaktiviert werden.
Gehen Sie wie folgt vor, um den anonymen LDAP-Verzeichniszugriff im Appliance Configuration Manager zu deaktivieren.
1. Öffnen Sie im ACM eine SSH-Sitzung und melden Sie sich als root-NutzerIn an.
2. Starten Sie LDAP mit dem folgenden Befehl neu: systemctl restart slapd
3. Erstellen Sie die ldif-Datei mit dem folgenden Befehl:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Fügen Sie den folgenden Inhalt in die Datei ein:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Führen Sie dann den folgenden Befehl in ACM aus:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Beispielausgabe
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Führen Sie den folgenden Befehl aus, um zu testen, dass die Korrektur eingerichtet wurde:
Führen Sie in Version 2.6 und höher den folgenden Befehl aus:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Führen Sie auf Version 2.5 und niedriger den folgenden Befehl aus:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Beispielausgabe:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
HINWEIS: Ein Problem wurde gemeldet, nachdem der obige Wissensdatenbankartikel ausgeführt wurde.
Nach dem Deaktivieren der anonymen LDAP-Suche in ACM löst dies eine Codeausnahme im aktuellen ACM-Passwortänderungsworkflow auf oder vor IDPA-Softwareversion 2.7.3 aus. Falls nach der Deaktivierung des anonymen LDAP-Zugriffs auf der Appliance eine Passwortänderung erforderlich ist, befolgen Sie bitte den Artikel 000212941, um die anonyme LDAP-Suche in ACM erneut zu aktivieren. Wenn die Passwortänderung erfolgreich abgeschlossen wurde, kann die anonyme LDAP-Suche erneut deaktiviert werden.
Falls eine Passwortänderung erforderlich ist, befolgen Sie bitte den Artikel 000212941, um die anonyme LDAP-Suche in ACM erneut zu aktivieren. Wenn die Passwortänderung erfolgreich abgeschlossen wurde, kann die anonyme LDAP-Suche erneut deaktiviert werden.
Nach dem Deaktivieren der anonymen LDAP-Suche in ACM löst dies eine Codeausnahme im aktuellen ACM-Passwortänderungsworkflow auf oder vor IDPA-Softwareversion 2.7.3 aus. Falls nach der Deaktivierung des anonymen LDAP-Zugriffs auf der Appliance eine Passwortänderung erforderlich ist, befolgen Sie bitte den Artikel 000212941, um die anonyme LDAP-Suche in ACM erneut zu aktivieren. Wenn die Passwortänderung erfolgreich abgeschlossen wurde, kann die anonyme LDAP-Suche erneut deaktiviert werden.
Falls eine Passwortänderung erforderlich ist, befolgen Sie bitte den Artikel 000212941, um die anonyme LDAP-Suche in ACM erneut zu aktivieren. Wenn die Passwortänderung erfolgreich abgeschlossen wurde, kann die anonyme LDAP-Suche erneut deaktiviert werden.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.