PowerProtect DP Series Appliance e IDPA: LDAP Anonymous Directory Access consentito in Appliance Configuration Manager.
摘要: Un cliente segnala la seguente vulnerabilità sul proprio DP4400 con IDPA versione 2.7.1. Il protocollo LDAP (Lightweight Directory Access Protocol) può essere utilizzato per fornire informazioni su utenti, gruppi e così via. Il servizio LDAP su questo sistema consente connessioni anonime. L'accesso a queste informazioni da parte di utenti malevoli può aiutarli a lanciare ulteriori attacchi. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Il cliente utilizza un sistema IDPA DP4400 con LDAP interno e riscontra un problema di sicurezza di binding LDAP anonimo dopo aver eseguito una scansione della sicurezza sul sistema IDPA.
原因
ACM dispone della funzione LDAP Anonymous Directory Access, con cui gli utenti malevoli possono accedere a utenti, gruppi e così via.
解决方案
NOTA: Dopo aver disabilitato la ricerca anonima LDAP in ACM, attiva un'eccezione di codice nel flusso di lavoro di modifica della password ACM corrente in o prima della versione del software IDPA 2.7.3. Nel caso in cui sia necessaria una modifica della password dopo l'implementazione di questa soluzione di sicurezza, seguire le 000212941 della KB per riabilitare la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Utilizzare la procedura riportata di seguito per disabilitare LDAP Anonymous Directory Access in Appliance Configuration Manager.
1. Aprire una sessione SSH in ACM e accedere come utente "root".
2. Riavviare LDAP utilizzando il seguente comando: systemctl restart slapd
3. Creare un file ldif utilizzando il seguente comando:
vi /etc/openldap/ldap_disable_bind_anon.ldif
Incollare il seguente contenuto nel file:
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
Quindi eseguire il seguente comando su ACM:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
Esempi di output
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4. Eseguire il comando seguente per testare che la correzione sia stata impostata:
Nelle versioni 2.6 e successive, eseguire il comando seguente:
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
Nelle versioni 2.5 e successive, eseguire il seguente comando:
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
Output di esempio:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed其他信息
NOTA: È stato segnalato un problema dopo aver seguito il precedente articolo della KB.
Dopo aver disabilitato la ricerca anonima LDAP in ACM, attiva un'eccezione di codice nel flusso di lavoro di modifica della password ACM corrente in o prima della versione del software IDPA 2.7.3. Nel caso in cui la modifica della password sia necessaria sull'appliance dopo la disabilitazione dell'accesso anonimo LDAP, seguire l'articolo 000212941 per riabilitare la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Nel caso in cui sia necessaria una modifica della password, seguire l'articolo 000212941 per abilitare nuovamente la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Dopo aver disabilitato la ricerca anonima LDAP in ACM, attiva un'eccezione di codice nel flusso di lavoro di modifica della password ACM corrente in o prima della versione del software IDPA 2.7.3. Nel caso in cui la modifica della password sia necessaria sull'appliance dopo la disabilitazione dell'accesso anonimo LDAP, seguire l'articolo 000212941 per riabilitare la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
Nel caso in cui sia necessaria una modifica della password, seguire l'articolo 000212941 per abilitare nuovamente la ricerca anonima LDAP in ACM. Una volta completata correttamente la modifica della password, è possibile disabilitare nuovamente la ricerca anonima LDAP.
受影响的产品
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software产品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900文章属性
文章编号: 000196092
文章类型: Solution
上次修改时间: 03 5月 2023
版本: 7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。