Устройства PowerProtect DP Series и IDPA. Анонимный доступ к каталогу LDAP разрешен в Appliance Configuration Manager.
Riepilogo: Заказчик сообщил о следующей уязвимости в DP4400, работающей под управлением IDPA версии 2.7.1. Протокол LDAP (Lightweight Directory Access Protocol) может использоваться для предоставления информации о пользователях, группах и т. д. Служба LDAP в этой системе разрешает анонимные подключения. Доступ к этой информации злоумышленниками может помочь им в запуске дальнейших атак. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Заказчик использует систему IDPA DP4400 с внутренним LDAP и сталкивается с проблемой безопасности анонимной привязки LDAP после выполнения проверки безопасности в системе IDPA.
Causa
ACM имеет анонимный доступ к каталогу LDAP, что позволяет злоумышленникам получать доступ к пользователям, группам и т. д.
Risoluzione
ПРИМЕЧАНИЕ. После отключения анонимного поиска LDAP в ACM запускается исключение кода в текущем рабочем процессе, который изменяет пароль ACM, в программном обеспечении IDPA версии 2.7.3 или до нее. Если после внедрения этого решения для безопасности потребуется изменение пароля, следуйте инструкциям в статье базы знаний 000212941, чтобы повторно активировать анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
Выполните следующие действия, чтобы отключить анонимный доступ к каталогу LDAP в Appliance Configuration Manager.
1. Подключитесь по SSH к ACM и выполните вход с учетной записью пользователя «root».
2. Перезапустите LDAP с помощью следующей команды: systemctl restart slapd
3. Создайте файл ldif с помощью следующей команды:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Вставьте в файл следующее содержимое:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Затем выполните следующую команду в ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Пример результата
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Выполните следующую команду, чтобы проверить, что исправление установлено:
В версиях 2.6 и выше выполните следующую команду:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
В версиях 2.5 и ниже выполните следующую команду:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Пример вывода:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
ПРИМЕЧАНИЕ. Проблема была обнаружена после выполнения инструкций, описанных в вышеуказанной статье базы знаний.
После отключения анонимного поиска LDAP в ACM запускается исключение кода в текущем рабочем процессе, который изменяет пароль ACM, в программном обеспечении IDPA версии 2.7.3 или до нее. Если после отключения анонимного доступа LDAP на устройстве требуется изменение пароля, следуйте инструкциям в статье 000212941, чтобы повторно включить анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
Если требуется изменение пароля, следуйте инструкциям в статье 000212941, чтобы повторно включить анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
После отключения анонимного поиска LDAP в ACM запускается исключение кода в текущем рабочем процессе, который изменяет пароль ACM, в программном обеспечении IDPA версии 2.7.3 или до нее. Если после отключения анонимного доступа LDAP на устройстве требуется изменение пароля, следуйте инструкциям в статье 000212941, чтобы повторно включить анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
Если требуется изменение пароля, следуйте инструкциям в статье 000212941, чтобы повторно включить анонимный поиск LDAP в ACM. После успешного изменения пароля можно снова отключить анонимный поиск LDAP.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.