只需在OSX上的LDAP碎片上阅读Slashdot线程即可 。 任何人都可以准确解释OpenLDAP所保证的是什么,以及为什么除了存储在狮子机器上的数据之外,还有其他的危险?
文章引述:
审计公司Errata Security首席执行官Rob Graham表示:“作为笔testing人员,我们首先要做的就是攻击LDAP服务器。 “一旦我们拥有一台LDAP服务器,我们拥有了一切。 我可以走到任何一台笔记本电脑(在一个组织)并login到它。“
如何从黑客攻击一个随机的Mac LDAP服务器到拥有整个企业?
不要惊慌。 这对“注册”中的这篇文章所build议的企业networking来说并不是一个巨大的威胁。
Apple Lion是新的,因此与其他操作系统上的类似缺陷相比,这个缺陷得到了不成比例的关注。 以下是这个问题的一些平静描述:
这是苹果Lion系统上的一个本地攻击,它只影响这个系统。 苹果尚未提供任何细节。 以下是我对此问题的理解:如果某人成功loginApple Lion系统,则任何人都可以使用任何密码login到同一个系统。 这是该系统的一个严重问题,但损害主要局限于该系统。 不幸的是,系统现在不太可信,可能在您的networking上。
这个问题不允许黑客自己拥有你的AD / LDAP服务器。 您的AD / LDAP服务器仍将拒绝来自任何LDAP客户端的任何不正确的LDAP授权请求。 要绕过这一点,需要LDAP服务器或LDAP协议或configuration错误的服务器出现严重缺陷,这与上述问题完全不同。
请记住,此问题仅影响使用LDAP进行身份validation的Apple Lion系统。 在大多数组织中,这将是极less数客户。 Apple Lion服务器可能更容易受到攻击,但是苹果公司需要详细阐述这个问题,但他们对这个问题还没有很好的解决。 你能想象RedHat在很长一段时间内隐藏一个公开的漏洞信息吗?
这个漏洞的问题在Slashdot链接的文章中有很好的解释。
真正的问题是,一旦有人进入使用LDAP的networking上的任何Lion机器,因为它是授权方法,那么您可以读取LDAP目录的内容。 这将使您可以访问使用中央身份validation的networking上的所有帐户。 另外,它还允许您访问由LDAP授权系统保护的任何内容。 基本上,你现在拥有该networking上的所有东西。
作为一个侧面说明,我很好奇,如果它是在LDAP授权或底层(可能是kerboros)身份validation系统中的错误。
另外,如果您不使用LDAP作为您的授权来源(OpenLDAP,Active Directory,NDS等),那么您不受此影响。
为了回答你的具体问题:
任何人都可以解释OpenLDAP保证的是什么
答案是“视情况而定”,即您的IT基础架构设置为使用LDAP进行授权。