이 Lion LDAP 취약점 보고서에서 실제로 어떤 일이 일어나고 있습니까?

OSX에서 LDAP 고장에 대한 Slashdot 스레드 를 읽으십시오 . 누구나 OpenLDAP에 의해 보호되는 내용과 Lion 머신에 저장된 데이터 이외의 데이터가 위험에 처할 수있는 이유를 정확하게 설명 할 수 있습니까?

기사에서 인용 :

감사 기업 Errata Security의 CEO 인 Rob Graham은“펜 테스터로서 우리가 가장 먼저하는 일은 LDAP 서버를 공격하는 것입니다. “우리가 LDAP 서버를 소유하면 모든 것이 소유됩니다. 조직의 모든 랩톱으로 걸어서 로그인 할 수 있습니다.”

임의의 맥 LDAP 서버를 해킹하는 것에서 전체 기업을 소유하는 것으로 어떻게 이동합니까?

놀라지 마십시오. 이것은 The Register의이 기사에서 제안한 엔터프라이즈 네트워크에 대한 큰 위협이 아닙니다 .

Apple Lion은 새로운 기능이므로이 버그는 다른 운영 체제의 유사한 결함과 비교할 때 상당한 관심을 받고 있습니다. 이 같은 문제에 대한 좀 더 침착 한 설명은 다음과 같습니다.

• " LDAP를 통해 인증 할 때 Mac OS X Lion에서 암호를 확인하지 못합니다 ".
• nakedsecurity.sophos.com의 Paul Ducklin 은이 문제와 그에 대한 과대 광고에 대해 더 합리적인 근거를 썼습니다 .

이것은 Apple Lion 시스템의 로컬 익스플로잇으로 해당 시스템에만 영향을 미칩니다. 애플은 아직 세부 사항을 제공하지 않았다. 문제를 이해하는 방법은 다음과 같습니다. 누군가가 Apple Lion 시스템에 성공적으로 로그인하면 다른 사람이 암호를 사용하여 동일한 시스템에 로그인 할 수 있습니다. 이는 해당 시스템에 심각한 문제이지만 손상은 대부분 해당 특정 시스템으로 제한됩니다. 불행히도이 시스템은 신뢰도가 떨어지고 네트워크에있을 수 있습니다.

이 문제로 인해 해커가 자체적으로 AD / LDAP 서버를 소유 할 수 없습니다. AD / LDAP 서버는 여전히 모든 LDAP 클라이언트의 잘못된 LDAP 인증 요청을 거부합니다. 이를 우회하려면 LDAP 서버 나 LDAP 프로토콜 또는 잘못 구성된 서버에 중대한 결함이 필요합니다. 이는 위에서 설명한 문제와 완전히 다른 문제입니다.

이 문제는 인증에 LDAP를 사용하는 Apple Lion 시스템에만 영향을 미칩니다. 대부분의 조직에서 이것은 매우 적은 수의 클라이언트가 될 것입니다. Apple Lion 서버는 더 취약 할 수 있지만 Apple은이 문제에 대해 자세히 설명해야하지만 아직이 문제에 대해서는 아직 언급하지 않았습니다. RedHat이 오랫동안 알려진 취약점에 대한 정보를 오랫동안 보유하고 있다고 상상할 수 있습니까?

이 취약점에 대한 문제는 슬래시 도트에 연결된 기사에서 잘 설명되어 있습니다.

진정한 문제는 누군가 권한 부여 방법으로 LDAP를 사용하는 네트워크의 Lion 시스템에 접속하면 LDAP 디렉토리의 내용을 읽을 수 있다는 것입니다. 중앙 인증을 사용하는 네트워크의 모든 계정에 액세스 할 수 있습니다. 또한 LDAP 권한 시스템으로 보안 된 모든 항목에 액세스 할 수 있습니다. 기본적으로 이제 해당 네트워크의 모든 것을 소유합니다.

참고로, LDAP 인증 또는 기본 (kerboros) 인증 시스템의 버그인지 궁금합니다.

또한 LDAP를 인증 소스 (OpenLDAP, Active Directory, NDS 등)로 사용하지 않는 경우 이로 인해 영향을받지 않습니다.

특정 질문에 대답하려면 :

누구나 OpenLDAP로 보안되는 것을 정확하게 설명 할 수 있습니까?

대답은 IT 인프라가 인증을 위해 LDAP를 사용하도록 설정 한 내용에 따라 "그것은 달려 있습니다 ..."입니다.