PowerProtect серії DP та IDPA: Анонімний доступ до каталогів LDAP дозволено в диспетчері конфігурації пристроїв.

摘要: Клієнт повідомив про наступну вразливість на своєму DP4400 під керуванням IDPA версії 2.7.1. Легкий протокол доступу до каталогів (LDAP) може використовуватися для надання інформації про користувачів, групи тощо. Служба LDAP в цій системі дозволяє анонімні з'єднання. Доступ зловмисників до цієї інформації може допомогти їм розпочати подальші атаки. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Клієнт використовує систему IDPA DP4400 із внутрішнім LDAP, і після сканування безпеки в системі IDPA у нього виникає проблема анонімної прив'язки LDAP.

原因

ACM має анонімний доступ до каталогів LDAP, в результаті чого зловмисники можуть отримати доступ до користувачів, груп ітц.

解决方案

ПРИМІТКА: Після вимкнення анонімного пошуку LDAP в ACM він запускає виняток коду в поточному робочому процесі зміни пароля ACM на або раніше версії програмного забезпечення IDPA 2.7.3. У разі необхідності зміни пароля після впровадження цього рішення безпеки, будь ласка, дотримуйтесь KB 000212941, щоб знову ввімкнути анонімний пошук LDAP в ACM. Коли зміна пароля буде успішно завершена, анонімний пошук LDAP можна буде знову вимкнути.


Виконайте наступні кроки, щоб вимкнути анонімний доступ до каталогу LDAP у Диспетчері конфігурації пристроїв.

1. Відкрийте SSH на ACM і увійдіть як користувач "root". 


2.Перезапустіть LDAP за допомогою такої команди: systemctl restart slapd

3. Створіть файл ldif за допомогою наступної команди:
  
vi /etc/openldap/ldap_disable_bind_anon.ldif

Вставте у файл такий вміст: 
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon

dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc

Потім запустіть таку команду на ACM:
  
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif 

Приклад виводу 
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"

modifying entry "cn=config"

modifying entry "olcDatabase={-1}frontend,cn=config"

4. Запустіть таку команду, щоб перевірити, чи виправлення встановлено на місце:У версіях 2.6 і вище запустіть таку команду: 

ldapsearch -x -b "dc=idpa,dc=local" "*" -h  |awk '/dn: / {print $2}'

У версіях 2.5 і нижче виконайте таку команду: 
ldapsearch -x -b "dc=idpa,dc=com" "*" -h  |awk '/dn: / {print $2}'

Приклад виводу: 
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
        additional info: anonymous bind disallowed

其他信息

ПРИМІТКА: Після дотримання вищезазначеного KB було повідомлено про проблему.

Після вимкнення анонімного пошуку LDAP в ACM він запускає виняток коду в поточному робочому процесі зміни пароля ACM на або раніше версії програмного забезпечення IDPA 2.7.3. У разі необхідності зміни пароля на посту приладу, який вимикає анонімний доступ LDAP, будь ласка, дотримуйтесь статті 000212941, щоб знову ввімкнути анонімний пошук LDAP в ACM. Коли зміна пароля буде успішно завершена, анонімний пошук LDAP можна буде знову вимкнути.

зображення.png
У разі необхідності зміни пароля, будь ласка, дотримуйтесь статті 000212941, щоб знову ввімкнути анонімний пошук LDAP в ACM. Коли зміна пароля буде успішно завершена, анонімний пошук LDAP можна буде знову вимкнути.

受影响的产品

PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software

产品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
文章属性
文章编号: 000196092
文章类型: Solution
上次修改时间: 03 5月 2023
版本:  7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。