Какого черта действительно идет в них на Льва отчеты об уязвимости LDAP?
У меня всегда была удача с IIS и iptables использование следующего сценария:
$IPTABLES-P ВХОДНОЙ $IPTABLES ОТБРАСЫВАНИЯ-P ВЫХОДНОЙ $IPTABLES ОТБРАСЫВАНИЯ-P ПЕРЕДАЮТ ОТБРАСЫВАНИЕ
$IPTABLES-t туземный-A PREROUTING-j DNAT-p tcp-d $EXT_IP - dport $WWW_PORT - $WWW_IP$IPTABLES к месту назначения-t туземный-A POSTROUTING-o $EXT_IFACE-j ПОДМЕНА
$IPTABLES-A ВВОДЯТ состояние-m - УСТАНОВЛЕННОЕ состояние, ИМЕЛО ОТНОШЕНИЕ,-j ПРИЗНАЮТ, что $IPTABLES-A ВВОДЯТ-p, все-i $LO_IFACE-j ПРИЗНАЮТ, что $IPTABLES-A ВВОДЯТ-p, который ПРИНИМАЮТ все-s $LO_IP-j
$IPTABLES-A ПРОИЗВОДЯТ состояние-m - УСТАНОВЛЕННОЕ состояние, ИМЕЛО ОТНОШЕНИЕ,-j ПРИНИМАЮТ
$IPTABLES-A ПЕРЕДАЮТ состояние-m! - указывают, что НОВЫЕ $IPTABLES ОТБРАСЫВАНИЯ-j-A ПЕРЕДАЮТ состояние-m - УСТАНОВЛЕННОЕ состояние, ИМЕЛО ОТНОШЕНИЕ,-j ПРИЗНАЮТ, что $IPTABLES-A ПЕРЕДАЮТ-p tcp-i $EXT_IFACE-s $ANY-d $WWW_IP - dport, $WWW_PORT-j ПРИНИМАЮТ
$IPTABLES-A ПЕРЕДАЮТ-p, который ПРИНИМАЮТ все-i $INT_IFACE-j
Не беспокойтесь. Это не является большой угрозой для корпоративных сетей, о чем свидетельствует эта статья в The Register .
Apple Lion - новинка, и поэтому этой ошибке уделяется непропорционально много внимания по сравнению с аналогичными недостатками в других операционных системах. Вот несколько более спокойных описаний той же проблемы:
- « Mac OS X Lion не может проверять пароли при аутентификации через LDAP ».
- Пол Даклин из nakedsecurity.sophos.com написал a более аргументированная статья об этой проблеме и шумихе, стоящей за ней.
Это локальный эксплойт в системе Apple Lion, который влияет только на эту систему. Apple пока не предоставила никаких подробностей. Вот как я понимаю проблему: если кто-то однажды успешно войдет в систему Apple Lion, тогда любой другой может войти в ту же систему с любым паролем. Это серьезная проблема для этой системы, но ущерб в основном ограничивается этой конкретной системой. К сожалению, эта система сейчас менее надежна и может быть включена в вашу сеть.
Эта проблема НЕ позволяет хакеру владеть вашими серверами AD / LDAP сама по себе. Ваши серверы AD / LDAP по-прежнему будут отклонять любой неверный запрос авторизации LDAP от любого клиента LDAP. Чтобы обойти это, потребуется серьезная ошибка на сервере LDAP или протоколе LDAP или неправильно настроенный сервер, что является совершенно другой проблемой, чем проблема, описанная выше.
Имейте в виду, что эта проблема затрагивает только системы Apple Lion, которые используют LDAP для аутентификации. В большинстве организаций это будет очень небольшое количество клиентов. Сервер Apple Lion может быть более уязвимым, но Apple нужно подробно рассказать о проблеме, и они пока не очень активно рассказывают об этом. Можете ли вы представить себе, что RedHat так долго скрывает информацию об общеизвестной уязвимости?
Проблема с уязвимостью довольно хорошо объясняется в статье, на которую ссылается slashdot.
Истинная проблема в том, что как только кто-то попадает на любую машину Lion в сети, которая использует LDAP в качестве метода авторизации, вы можете прочитать содержимое каталога LDAP. Это даст вам доступ ко всем учетным записям в сети, которые используют централизованную аутентификацию. Кроме того, он дает вам доступ ко всему , защищенному системой авторизации LDAP. По сути, теперь вам принадлежит все в этой сети.
В качестве примечания, мне любопытно, является ли это ошибкой в авторизации LDAP или в базовой (возможно, Kerboros) системе аутентификации.
Кроме того, если вы не используете LDAP в качестве источника авторизации (OpenLDAP, Active Directory, NDS и т. Д.), Это не влияет на вас.