PowerProtect DPシリーズ アプライアンスおよびIDPA:Appliance Configuration ManagerでLDAP匿名ディレクトリー アクセスが許可されている
摘要: IDPAバージョン2.7.1を実行しているDP4400で次の脆弱性が報告されました。 Lightweight Directory Access Protocol (LDAP)を使用して、ユーザー、グループなどに関する情報を取得できます。 このシステム上のLDAPサービスでは、匿名接続が可能です。悪意のあるユーザーがこの情報にアクセスできると、さらなる攻撃が開始される可能性があります。 ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
お客様は、内部LDAPでIDPA DP4400システムを使用しており、IDPAシステムでセキュリティ スキャンを実行した後に、LDAP匿名バインドによるセキュリティの問題が発生しています。
原因
ACMには、LDAP匿名ディレクトリー アクセス権があるため、悪意のあるユーザーがユーザー、グループなどにアクセスできます。
解决方案
メモ: ACMでLDAP匿名ルックアップを無効化すると、IDPAソフトウェア バージョン2.7.3以前の現在のACMパスワード変更ワークフローでコード例外がトリガーされます。このセキュリティ ソリューションの実装後にパスワードの変更が必要な場合は、KB 000212941に従って、ACMでLDAP匿名検索を再度有効にしてください。パスワードの変更が正常に完了すると、LDAP匿名検索を再度無効にすることができます。
Appliance Configuration ManagerでLDAP匿名ディレクトリー アクセス権を無効にするには、次の手順を実行します。
1.ACMにSSH接続し、「root」ユーザーとしてログインします。
2. systemctl restart slapdコマンドを使用して、LDAPを再起動します。
3.次のコマンドを使用して、ldifファイルを作成します。
vi /etc/openldap/ldap_disable_bind_anon.ldif
ファイルに次のコンテンツを貼り付けます。
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
次に、ACMで次のコマンドを実行します。
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
サンプル出力
acm-xxxx:~ # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
4.次のコマンドを実行して、修正プログラムが配置されていることをテストします。
バージョン2.6以降では、次のコマンドを実行します。
ldapsearch -x -b "dc=idpa,dc=local" "*" -h |awk '/dn: / {print $2}'
バージョン2.5以降では、次のコマンドを実行します。
ldapsearch -x -b "dc=idpa,dc=com" "*" -h |awk '/dn: / {print $2}'
出力例:
acm-xxxxx:~ # ldapsearch -x -b "dc=idpa,dc=local" "*" -h acm-5800-crk.dp.ce.gslabs.lab.emc.com |awk '/dn: / {print $2}'
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed其他信息
メモ: 上記のKBに従った後に問題が報告されました。
ACMでLDAP匿名ルックアップを無効化すると、IDPAソフトウェア バージョン2.7.3以前の現在のACMパスワード変更ワークフローでコード例外がトリガーされます。LDAP匿名アクセスを無効化した後にアプライアンスでパスワードの変更が必要な場合は、記事000212941に従って、ACMでLDAP匿名ルックアップを再度有効にしてください。パスワードの変更が正常に完了すると、LDAP匿名検索を再度無効にすることができます。
パスワードの変更が必要な場合は、 記事000212941に従って、ACMでLDAP匿名検索を再度有効にしてください。パスワードの変更が正常に完了すると、LDAP匿名検索を再度無効にすることができます。
ACMでLDAP匿名ルックアップを無効化すると、IDPAソフトウェア バージョン2.7.3以前の現在のACMパスワード変更ワークフローでコード例外がトリガーされます。LDAP匿名アクセスを無効化した後にアプライアンスでパスワードの変更が必要な場合は、記事000212941に従って、ACMでLDAP匿名ルックアップを再度有効にしてください。パスワードの変更が正常に完了すると、LDAP匿名検索を再度無効にすることができます。
パスワードの変更が必要な場合は、 記事000212941に従って、ACMでLDAP匿名検索を再度有効にしてください。パスワードの変更が正常に完了すると、LDAP匿名検索を再度無効にすることができます。
受影响的产品
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software产品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900文章属性
文章编号: 000196092
文章类型: Solution
上次修改时间: 03 5月 2023
版本: 7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。