LDAP-fejl i Mac OS lader brugere logge ind uden at kende kodeordet

En fejl i modulet, der godkender LDAP i Mac OS X 10.7.x Lion, kan resultere i, at ethvert kodeord accepteres under login-processen. Det kræver kun et gyldigt brugernavn.

Mac OS X 10.7.x Lion er ramt af en fejl, der lader folk logge på systemet med et forkert password, blot brugernavnet er korrekt. Det skyldes en fejl i modulet, der godkender LDAP.

Problemet opstår både, når man logger ind på en klient via en grafisk grænseflade, og når man logger på over nettet via SSH. Nogle brugere har også rapporteret, at de overhovedet ikke kan logge ind ved hjælp af LDAP, efter at de har opdateret til Lion.

LDAP er Lightweight Directory Access Protokollen, som får en række forskelligartede systemer til at anvende en fælles kilde til brugeroplysninger, således at administratorerne og brugerne kun skal huske et brugernavn og kodeord til alle systemerne.

Om problemet opstår eller ej synes at afhænge af, om LDAP-serveren kører på et lokalt eller på et separat system. Lion bruger ikke LDAP for at logge ind som standardindstilling. LDAP-autentificering bruges normalt kun i store infrastrukturer, hvor der er en centraliseret administrering af brugeroplysninger, som navn, kodeord og grupper.

Apple er blevet orienteret om problemet, men det er endnu ikke blevet rettet. Det er endnu uklart, om problemet vil blive rettet i en sikkerhedsopdatering eller først i den næste Lion-punktopdatering, Mac OS X 10.7.2. På nuværende tidspunkt er det eneste middel mod fejlen at deaktivere LDAP-autentificeringen for kritiske tjenester.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Dennis Krøger

Om lidt kan vi høre h.r Damkjær fortælle os alle at det ikke er nogen nyhed, og at det overhovedet ikke er et problem fordi man er for dum hvis man har et brugernavn der er til at gætte, og at LDAP for øvrigt er noget lort ingen bruger.

  • 0
  • 0
Jakob Damkjær

Tjoe det virker som en faktisk bug ihvertfald mellem openldap og den ldapklient der er på Mac OS X Lion 10.7 version 2.4.23 versus den der er instaleret med Mac OS X SL 10.6.8 version 2.4.11...

Hvilken version af openldap var det nu lige de servere der ikke virkede rigtig kørte ? De driftsservere bliver sikkert opdateret hver dag....

Der er en grund til at man tester major realeases inden man sender dem ud til større grupper brugere... Og da bugen har været kendt i en månde og det indtil ca sidst uge kun var muligt at installere lion via en Mac app store konto... Så vil jeg være imponeret hvis der er nogen der har lavet en udrulning af lion over et LDAP netværk uden at ha været opmærksom på den bug... test ikke major realeases på drifts netværk det er dumt. Specielt når der er store opdateringer i sikkerhedsdelen. Measure twice, cut once.

Har endnu ikke opdateret andet end test systemerne selv da jeg har et par specifik driver inkompatabilitets problemer med et par printere. Så er det vist endeligt bevist at det er et problem at folk ikke tester før de sætter noget i drift... Og jeg ved godt man ikke kan teste alt... Men at en centrale login server virker rigtigt er nok noget man burde ha testet om det virker...

  • 0
  • 0
Nikolaj Brinch Jørgensen

Apple er så helt i tråd med Canonical, MS og stort set alle andre. At der forekommer initielle bugs i deres nye Major releases. Derfor venter de fleste virksomheder også et par omgange med at smide nye majors på. Uheldigt for Apple, men det er desværre det vi ser over stort set hele OS linien (der er nogle få som ikke har den slags problemer, eller også er de så lidt brugt, at det bliver opdaget af udviklere, inden det bliver opdaget af brugere).

  • 0
  • 0
Nikolaj Brinch Jørgensen

Der beskives rundt omkring, at det er muligt at bypasse LDAP, så man kun behøver brugernavn og ikke password.

Vil det sige at hvis jeg bruger LDAP auth på mit netværk (Exchange m.fl.), så kan man bypasse security, så man kan lave en LDAP session, og tilgå f.eks. Exchange uden password?

I så fald, hvad er det for en protokol og server? Det bør ALDRIG være klienten der er afgørende for sikkerheden. At klienten er faulty bør ikke gøre serveren vulnerable!

Hvis det forholder sig ovenfor har LDAP er større problem end OS/X Lion.

  • 0
  • 0
Michael Dreves Beier

Jeg har lige prøvet at se om jeg kunne reproducere denne her. Jeg køre en Lion Server 10.7.1 og derfor også LDAP til at gemme credentials for Kerberos.

Det lykkedes ikke at at logge ind med forkert password.

Så er der nogle som har lykkedes med at reproduere ?

Og så er der noget jeg ikke helt forstår i artiklen. LDAP bruges til at lagre og læse informationer som normalt er indeholdt i et directory. Når der laves auth mod en OpenLDAP er det jo f.eks. Kerberos som tilser at de informationer som ligger i directory passer med det som der skrives som input (pw).

Så hvis den bug er tilstede, så er det vel Kerberos og ikke LDAP der har et problem eller ....????

-mic

  • 0
  • 0
Jakob Damkjær

Det er en bug der kun påvirker IKKE Apple OpenLDAP auth servere og så vidt jeg forstår ikke på nogen måde er tilpasset fra vanilla OpenLDAP til at håndtere Mac OS X klienter... (ingen information lige umiddelbart om hvilke kombinationer af openLDAP servere og hvilke LDAP MacOS X klienter der er påvirket).

Exchange servere der bruger AD er ikke påvirket... Mac OS X Lion openLDAP servere er ikke påvirket da de bruger kerberos og åbentlyst er blevet afprøvet i QA...

og root user har da været slået fra siden 10.4 så hvis man root user enabler sine brugermaskiner per default så ber man da om balade...

  • 0
  • 0
Daniel Udsen

og root user har da været slået fra siden 10.4 så hvis man root user enabler sine brugermaskiner per default så ber man da om balade...

Det er den officielle historie ja, i praksis er root ikke nødvendigvis fjernet, men bare sat kontoen så password "mangler" og du derfor ikke kan logge ind som root. Hvis der er nogen der finder ud af at reproducere fejlen så forsøg lige om ikke i faktisk kan logge ind som den "disablede" root.

  • 0
  • 0
Mikkel Kruse Johnsen

@michael Nej, AD er LDAPv3 (LDAPv3 er en betegnelse for LDAP med Kerberos som auth del.)

Ja, det er rigtigt MS har lavet udvidelser i PAC delen af Kerberos, men MIT kerberos har understøttet det i et stykke tid.

Men selvom du bliver logget ind på din Mac, får du ikke en token.

  • 0
  • 0
Log ind eller Opret konto for at kommentere