Equipamento PowerProtect série DP e IDPA: Acesso anônimo ao diretório LDAP permitido no Appliance Configuration Manager.
Riepilogo: Um cliente relatou a seguinte vulnerabilidade no DP4400 executando o IDPA versão 2.7.1. O Lightweight Directory Access Protocol (LDAP) pode ser usado para fornecer informações sobre usuários, grupos etc. O serviço LDAP nesse sistema permite conexões anônimas. O acesso a essas informações por usuários mal-intencionados pode ajudá-los a iniciar mais ataques. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
O cliente está usando um sistema IDPA DP4400 com LDAP interno e está enfrentando um problema anônimo de vinculação de segurança do LDAP depois de executar uma verificação de segurança no sistema IDPA.
Causa
O ACM tem acesso anônimo ao diretório LDAP, resultando em usuários mal-intencionados que podem ter acesso a usuários, grupos etc.
Risoluzione
Nota: Depois de desativar a pesquisa anônima do LDAP no ACM, ele aciona uma exceção de código no workflow atual de alteração de senha do ACM na versão 2.7.3 do software IDPA ou anterior. Caso seja necessária uma alteração de senha após a implementação desta solução de segurança, siga o artigo da KB 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Use as etapas a seguir para desabilitar o acesso anônimo ao diretório LDAP no Appliance Configuration Manager.
1. Abra o SSH no ACM e faça login como usuário "root".
2. Reinicie o LDAP usando o seguinte comando: systemctl restart slapd
3. Crie um arquivo ldif usando o seguinte comando:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Cole o seguinte conteúdo no arquivo:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Em seguida, execute o seguinte comando no ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Exemplo de resultado
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Execute o seguinte comando para testar se a correção foi implementada:
Nas versões 2.6 e posteriores, execute o seguinte comando:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Nas versões 2.5 e posteriores, execute o seguinte comando:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Exemplo de resultado:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowedInformazioni aggiuntive
Nota: Um problema foi relatado após seguir a KB acima.
Depois de desativar a pesquisa anônima do LDAP no ACM, ele aciona uma exceção de código no workflow atual de alteração de senha do ACM na versão 2.7.3 do software IDPA ou anterior. Caso seja necessário alterar a senha no equipamento após desativar o acesso anônimo do LDAP, siga o artigo 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Caso seja necessária uma alteração de senha, siga o artigo 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Depois de desativar a pesquisa anônima do LDAP no ACM, ele aciona uma exceção de código no workflow atual de alteração de senha do ACM na versão 2.7.3 do software IDPA ou anterior. Caso seja necessário alterar a senha no equipamento após desativar o acesso anônimo do LDAP, siga o artigo 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Caso seja necessária uma alteração de senha, siga o artigo 000212941 para reativar a pesquisa anônima do LDAP no ACM. Quando a alteração de senha for concluída com sucesso, a pesquisa anônima do LDAP poderá ser desativada novamente.
Prodotti interessati
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwareProdotti
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Proprietà dell'articolo
Numero articolo: 000196092
Tipo di articolo: Solution
Ultima modifica: 03 mag 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.