PowerProtect DP -sarjan laite ja IDPA: ACM-sovellus (Appliance Configuration Manager) sallii LDAP:n hakemistojen käytön nimettömänä.
Riepilogo: Asiakas ilmoitti seuraavasta haavoittuvuudesta DP4400:ssa, jossa on IDPA-versio 2.7.1. Lightweight Directory Access Protocol (LDAP) -verkkoprotokollaa voidaan käyttää antamaan tietoja mm. käyttäjistä ja ryhmistä. Tämän järjestelmän LDAP-palvelu mahdollistaa anonyymit yhteydet. Tunkeilijoiden pääsy näihin tietoihin voi auttaa heitä käynnistämään uusia hyökkäyksiä. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Asiakas käyttää IDPA DP4400 -järjestelmää, jossa on sisäinen LDAP, ja hänellä on anonyymi LDAP-sidosturvaongelma IDPA-järjestelmän suojaustarkistuksen suorittamisen jälkeen.
Causa
ACM-sovelluksella on LDAP Anonymous Directory Access -käyttöoikeudet, minkä seurauksena tunkeilijat pääsevät käsiksi käyttäjiin, ryhmiin jne.
Risoluzione
HUOMAUTUS: Kun LDAP:n nimettömän haun on poistettu käytöstä ACM:ssä, se käynnistää koodin poikkeuksen nykyisessä ACM:n salasanaa muuttavassa työnkulussa IDPA-ohjelmistoversiossa 2.7.3 tai sitä ennen. Jos salasanaa on muutettava tämän suojausratkaisun käyttöönoton jälkeen, ota LDAP-haku uudelleen käyttöön ACM:ssä tietämyskannan 000212941. Kun salasanan vaihto onnistuu, LDAP:n nimettömänä tehty haku voidaan poistaa käytöstä uudelleen.
Seuraavien ohjeiden avulla nimettömät LDAP-hakemiston käyttäjät voidaan poistaa Appliance Configuration Managerilla (ACM-sovellus).
1. Avaa SSH-yhteys ACM-sovelluksesta ja kirjaudu sisään pääkäyttäjänä.
2. Käynnistä LDAP uudelleen seuraavalla komennolla: systemctl restart slapd
3. Luo ldif-tiedosto käyttämällä seuraavaa komentoa:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Liitä tiedostoon seuraava sisältö:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Suorita sitten seuraava komento ACM:ssä:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Esimerkkituloste
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Testaa, että korjaus on otettu käyttöön
, suorittamalla seuraava komento versiossa 2.6 ja uudemmissa komennolla:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Suorita versiossa 2.5 ja sitä uudemmissa seuraava komento:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Esimerkkitulos:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
HUOMAUTUS: Ongelmasta on ilmoitettu edellä mainitun tietämyskannan jälkeen.
Kun LDAP:n nimettömän haun on poistettu käytöstä ACM:ssä, se käynnistää koodin poikkeuksen nykyisessä ACM:n salasanaa muuttavassa työnkulussa IDPA-ohjelmistoversiossa 2.7.3 tai sitä ennen. Jos laitteessa on vaihdettava salasana, kun olet poistanut käytöstä nimettömän LDAP-käytön, ota LDAP:n nimettömänä toimiva haku uudelleen käyttöön ACM:n artikkelissa 000212941. Kun salasanan vaihto onnistuu, LDAP:n nimettömänä tehty haku voidaan poistaa käytöstä uudelleen.
Jos salasanaa on vaihdettava, ota ACM:n nimettömän LDAP-haun uudelleen käyttöön artikkelin 000212941 mukaisesti. Kun salasanan vaihto onnistuu, LDAP:n nimettömänä tehty haku voidaan poistaa käytöstä uudelleen.
Kun LDAP:n nimettömän haun on poistettu käytöstä ACM:ssä, se käynnistää koodin poikkeuksen nykyisessä ACM:n salasanaa muuttavassa työnkulussa IDPA-ohjelmistoversiossa 2.7.3 tai sitä ennen. Jos laitteessa on vaihdettava salasana, kun olet poistanut käytöstä nimettömän LDAP-käytön, ota LDAP:n nimettömänä toimiva haku uudelleen käyttöön ACM:n artikkelissa 000212941. Kun salasanan vaihto onnistuu, LDAP:n nimettömänä tehty haku voidaan poistaa käytöstä uudelleen.
Jos salasanaa on vaihdettava, ota ACM:n nimettömän LDAP-haun uudelleen käyttöön artikkelin 000212941 mukaisesti. Kun salasanan vaihto onnistuu, LDAP:n nimettömänä tehty haku voidaan poistaa käytöstä uudelleen.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.