PowerProtect DP Series Appliance e IDPA: LDAP Anonymous Directory Access consentito in Appliance Configuration Manager.
Riepilogo: Un cliente segnala la seguente vulnerabilità sul proprio DP4400 con IDPA versione 2.7.1. Il protocollo LDAP (Lightweight Directory Access Protocol) può essere utilizzato per fornire informazioni su utenti, gruppi e così via. Il servizio LDAP su questo sistema consente connessioni anonime. L'accesso a queste informazioni da parte di utenti malevoli può aiutarli a lanciare ulteriori attacchi. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Il cliente utilizza un sistema IDPA DP4400 con LDAP interno e riscontra un problema di sicurezza di binding LDAP anonimo dopo aver eseguito una scansione della sicurezza sul sistema IDPA.
Causa
ACM dispone della funzione LDAP Anonymous Directory Access, con cui gli utenti malevoli possono accedere a utenti, gruppi e così via.
Risoluzione
NOTA: Dopo aver disabilitato la ricerca anonima LDAP in ACM, attiva un'eccezione di codice nel flusso di lavoro di modifica della password ACM corrente in o prima della versione del software IDPA 2.7.3. Nel caso in cui sia necessaria una modifica della password dopo l'implementazione di questa soluzione di sicurezza, seguire le 000212941 della KB per riabilitare la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Utilizzare la procedura riportata di seguito per disabilitare LDAP Anonymous Directory Access in Appliance Configuration Manager.
1. Aprire una sessione SSH in ACM e accedere come utente "root".
2. Riavviare LDAP utilizzando il seguente comando: systemctl restart slapd
3. Creare un file ldif utilizzando il seguente comando:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Incollare il seguente contenuto nel file:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Quindi eseguire il seguente comando su ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Esempi di output
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Eseguire il comando seguente per testare che la correzione sia stata impostata:
Nelle versioni 2.6 e successive, eseguire il comando seguente:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Nelle versioni 2.5 e successive, eseguire il seguente comando:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Output di esempio:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
NOTA: È stato segnalato un problema dopo aver seguito il precedente articolo della KB.
Dopo aver disabilitato la ricerca anonima LDAP in ACM, attiva un'eccezione di codice nel flusso di lavoro di modifica della password ACM corrente in o prima della versione del software IDPA 2.7.3. Nel caso in cui la modifica della password sia necessaria sull'appliance dopo la disabilitazione dell'accesso anonimo LDAP, seguire l'articolo 000212941 per riabilitare la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Nel caso in cui sia necessaria una modifica della password, seguire l'articolo 000212941 per abilitare nuovamente la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Dopo aver disabilitato la ricerca anonima LDAP in ACM, attiva un'eccezione di codice nel flusso di lavoro di modifica della password ACM corrente in o prima della versione del software IDPA 2.7.3. Nel caso in cui la modifica della password sia necessaria sull'appliance dopo la disabilitazione dell'accesso anonimo LDAP, seguire l'articolo 000212941 per riabilitare la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Nel caso in cui sia necessaria una modifica della password, seguire l'articolo 000212941 per abilitare nuovamente la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.