¿Qué diablos está pasando realmente en estos informes de vulnerabilidad LDAP de Lion?

Simplemente lea un hilo de Slashdot sobre la rotura de LDAP en OSX. ¿Alguien puede explicar exactamente qué es lo que está garantizando OpenLDAP y por qué cualquier otra cosa que no sean los datos almacenados en una máquina Lion podría estar en riesgo?

Una cita del artículo:

"Como probadores de pen, una de las primeras cosas que hacemos es atacar el servidor LDAP", dijo Rob Graham, CEO de la firma de auditoría Errata Security. “Una vez que poseemos un servidor LDAP, somos dueños de todo. Puedo acercarme a cualquier computadora portátil (en una organización) e iniciar sesión en ella ”.

¿Cómo se pasa de hackear un servidor LDAP mac aleatorio a ser dueño de toda la empresa?

No te alarmes. Esta no es una gran amenaza para las redes empresariales que sugiere este artículo en The Register .

Apple Lion es nuevo y, por lo tanto, este error está recibiendo una cantidad desproporcionada de atención en comparación con fallas similares en otros sistemas operativos. Aquí hay algunas descripciones más tranquilas de este mismo problema:

• " Mac OS X Lion no puede verificar las contraseñas cuando se autentica a través de LDAP ".
• Paul Ducklin de nakedsecurity.sophos.com escribió un artículo más razonado sobre este problema y la exageración detrás de él.

Este es un exploit local en un sistema Apple Lion que afecta solo a ese sistema. Apple aún no ha proporcionado ningún detalle. Así es como entiendo el problema: si alguien inicia sesión en un sistema Apple Lion una vez con éxito, entonces cualquier otra persona puede iniciar sesión en el mismo sistema con cualquier contraseña. Este es un problema grave para ese sistema, pero el daño se limita principalmente a ese sistema en particular. Desafortunadamente, ese sistema ahora es menos confiable y puede estar en su red.

Este problema NO permite que un hacker sea dueño de sus servidores AD / LDAP, por sí mismo. Sus servidores AD / LDAP seguirán rechazando cualquier solicitud de autorización LDAP incorrecta de cualquier cliente LDAP. Para evitar esto, se requeriría una falla importante en el servidor LDAP o el protocolo LDAP o un servidor mal configurado, que es un problema completamente diferente al problema descrito anteriormente.

Tenga en cuenta que este problema solo afecta a los sistemas Apple Lion que usan LDAP para la autenticación. En la mayoría de las organizaciones, este será un número muy pequeño de clientes. Un servidor Apple Lion podría ser más vulnerable, pero Apple necesita dar más detalles sobre el problema y aún no han sido muy comunicativos sobre este tema. ¿Te imaginas a RedHat reteniendo información sobre una vulnerabilidad públicamente conocida durante tanto tiempo?

El problema con la vulnerabilidad está bastante bien explicado en el artículo vinculado por slashdot.

El verdadero problema es que una vez que alguien ingresa a cualquier máquina Lion en la red que está utilizando LDAP como método de autorización, puede leer el contenido del directorio LDAP. Lo que le daría acceso a todas las cuentas en la red que usan autenticación central. Además, le da acceso a cualquier cosa asegurada por el sistema de autorización LDAP. Básicamente, ahora posee todo en esa red.

Como nota al margen, tengo curiosidad por saber si se trata de un error en la autorización LDAP o en el sistema de autenticación subyacente (probablemente kerboros).

Además, si no está utilizando LDAP como fuente de autorización (OpenLDAP, Active Directory, NDS, etc.), esto no le afecta.

Para responder a su pregunta específica:

¿Alguien puede explicar exactamente qué está garantizando OpenLDAP?

La respuesta es "Depende ..." de lo que su infraestructura de TI haya configurado para usar LDAP para la autorización.