LDAP-fejl i Mac OS lader brugere logge ind uden at kende kodeordet

25. august 2011 kl. 15:5419
En fejl i modulet, der godkender LDAP i Mac OS X 10.7.x Lion, kan resultere i, at ethvert kodeord accepteres under login-processen. Det kræver kun et gyldigt brugernavn.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Mac OS X 10.7.x Lion er ramt af en fejl, der lader folk logge på systemet med et forkert password, blot brugernavnet er korrekt. Det skyldes en fejl i modulet, der godkender LDAP.

Problemet opstår både, når man logger ind på en klient via en grafisk grænseflade, og når man logger på over nettet via SSH. Nogle brugere har også rapporteret, at de overhovedet ikke kan logge ind ved hjælp af LDAP, efter at de har opdateret til Lion.

LDAP er Lightweight Directory Access Protokollen, som får en række forskelligartede systemer til at anvende en fælles kilde til brugeroplysninger, således at administratorerne og brugerne kun skal huske et brugernavn og kodeord til alle systemerne.

Om problemet opstår eller ej synes at afhænge af, om LDAP-serveren kører på et lokalt eller på et separat system. Lion bruger ikke LDAP for at logge ind som standardindstilling. LDAP-autentificering bruges normalt kun i store infrastrukturer, hvor der er en centraliseret administrering af brugeroplysninger, som navn, kodeord og grupper.

Artiklen fortsætter efter annoncen

Apple er blevet orienteret om problemet, men det er endnu ikke blevet rettet. Det er endnu uklart, om problemet vil blive rettet i en sikkerhedsopdatering eller først i den næste Lion-punktopdatering, Mac OS X 10.7.2. På nuværende tidspunkt er det eneste middel mod fejlen at deaktivere LDAP-autentificeringen for kritiske tjenester.

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
21
Daniel Udsen
26. august 2011 kl. 10:46

og root user har da været slået fra siden 10.4 så hvis man root user enabler sine brugermaskiner per default så ber man da om balade...

Det er den officielle historie ja, i praksis er root ikke nødvendigvis fjernet, men bare sat kontoen så password "mangler" og du derfor ikke kan logge ind som root. Hvis der er nogen der finder ud af at reproducere fejlen så forsøg lige om ikke i faktisk kan logge ind som den "disablede" root.

  • more_vert
    • insert_linkKopier link
19
Michael Dreves Beier
26. august 2011 kl. 09:20

Jeg har lige prøvet at se om jeg kunne reproducere denne her. Jeg køre en Lion Server 10.7.1 og derfor også LDAP til at gemme credentials for Kerberos.

Det lykkedes ikke at at logge ind med forkert password.

Så er der nogle som har lykkedes med at reproduere ?

Og så er der noget jeg ikke helt forstår i artiklen. LDAP bruges til at lagre og læse informationer som normalt er indeholdt i et directory. Når der laves auth mod en OpenLDAP er det jo f.eks. Kerberos som tilser at de informationer som ligger i directory passer med det som der skrives som input (pw).

Så hvis den bug er tilstede, så er det vel Kerberos og ikke LDAP der har et problem eller ....????

-mic

  • more_vert
    • insert_linkKopier link
20
Jakob Damkjær
26. august 2011 kl. 10:17

Det er en bug der kun påvirker IKKE Apple OpenLDAP auth servere og så vidt jeg forstår ikke på nogen måde er tilpasset fra vanilla OpenLDAP til at håndtere Mac OS X klienter... (ingen information lige umiddelbart om hvilke kombinationer af openLDAP servere og hvilke LDAP MacOS X klienter der er påvirket).

Exchange servere der bruger AD er ikke påvirket... Mac OS X Lion openLDAP servere er ikke påvirket da de bruger kerberos og åbentlyst er blevet afprøvet i QA...

og root user har da været slået fra siden 10.4 så hvis man root user enabler sine brugermaskiner per default så ber man da om balade...

  • more_vert
    • insert_linkKopier link
16
Nikolaj Brinch Jørgensen
26. august 2011 kl. 07:36

Eller betyder det, at hvis man benytter LDAP auth på sin MacBook Pro (op imod en LDAP server), så kan man logger ind på sin Mac, uden brug af password? I så fald forstår jeg sammenhængen.

  • more_vert
    • insert_linkKopier link
15
Nikolaj Brinch Jørgensen
26. august 2011 kl. 07:34

Der beskives rundt omkring, at det er muligt at bypasse LDAP, så man kun behøver brugernavn og ikke password.

Vil det sige at hvis jeg bruger LDAP auth på mit netværk (Exchange m.fl.), så kan man bypasse security, så man kan lave en LDAP session, og tilgå f.eks. Exchange uden password?

I så fald, hvad er det for en protokol og server? Det bør ALDRIG være klienten der er afgørende for sikkerheden. At klienten er faulty bør ikke gøre serveren vulnerable!

Hvis det forholder sig ovenfor har LDAP er større problem end OS/X Lion.

  • more_vert
    • insert_linkKopier link
14
Nikolaj Brinch Jørgensen
26. august 2011 kl. 07:27

Apple er så helt i tråd med Canonical, MS og stort set alle andre. At der forekommer initielle bugs i deres nye Major releases. Derfor venter de fleste virksomheder også et par omgange med at smide nye majors på. Uheldigt for Apple, men det er desværre det vi ser over stort set hele OS linien (der er nogle få som ikke har den slags problemer, eller også er de så lidt brugt, at det bliver opdaget af udviklere, inden det bliver opdaget af brugere).

  • more_vert
    • insert_linkKopier link
11
Flemming Riis
25. august 2011 kl. 22:43

så det kræver fysisk adgang eller at man aktivt enablet ssh

  • more_vert
    • insert_linkKopier link
2
Dennis Krøger
25. august 2011 kl. 16:22

Om lidt kan vi høre h.r Damkjær fortælle os alle at det ikke er nogen nyhed, og at det overhovedet ikke er et problem fordi man er for dum hvis man har et brugernavn der er til at gætte, og at LDAP for øvrigt er noget lort ingen bruger.

  • more_vert
    • insert_linkKopier link
12
Jakob Damkjær
26. august 2011 kl. 03:49

Tjoe det virker som en faktisk bug ihvertfald mellem openldap og den ldapklient der er på Mac OS X Lion 10.7 version 2.4.23 versus den der er instaleret med Mac OS X SL 10.6.8 version 2.4.11...

Hvilken version af openldap var det nu lige de servere der ikke virkede rigtig kørte ? De driftsservere bliver sikkert opdateret hver dag....

Der er en grund til at man tester major realeases inden man sender dem ud til større grupper brugere... Og da bugen har været kendt i en månde og det indtil ca sidst uge kun var muligt at installere lion via en Mac app store konto... Så vil jeg være imponeret hvis der er nogen der har lavet en udrulning af lion over et LDAP netværk uden at ha været opmærksom på den bug... test ikke major realeases på drifts netværk det er dumt. Specielt når der er store opdateringer i sikkerhedsdelen. Measure twice, cut once.

Har endnu ikke opdateret andet end test systemerne selv da jeg har et par specifik driver inkompatabilitets problemer med et par printere. Så er det vist endeligt bevist at det er et problem at folk ikke tester før de sætter noget i drift... Og jeg ved godt man ikke kan teste alt... Men at en centrale login server virker rigtigt er nok noget man burde ha testet om det virker...

  • more_vert
    • insert_linkKopier link