এই সিংহ এলডিএপি দুর্বলতার রিপোর্টগুলিতে হ্যাক আসলে কী চলছে?

ওএসএক্স-তে এলডিএপি ভাঙ্গার জন্য কেবল স্ল্যাশডট থ্রেডটি পড়ুন । যে কেউ ওপেনএলডিএপি দ্বারা সুরক্ষিত হচ্ছে ঠিক কী ব্যাখ্যা করতে পারে এবং লায়ন মেশিনে সঞ্চিত ডেটা বাদে অন্য কিছু কেন ঝুঁকির মধ্যে রয়েছে?

নিবন্ধ থেকে একটি উদ্ধৃতি:

"পেন টেস্টার হিসাবে আমরা প্রথম যে কাজটি করি তা হ'ল এলডিএপি সার্ভারকে আক্রমণ করা," অডিটমেন্ট ফার্ম এরাটা সিকিউরিটির সিইও রব গ্রাহাম বলেছেন। “একবার আমরা এলডিএপি সার্ভারের মালিক হয়ে গেলে আমাদের সমস্ত কিছুর মালিক হয়। আমি যে কোনও ল্যাপটপ (কোনও সংস্থায়) যেতে পারি এবং এতে লগ ইন করতে পারি ”"

একজন এলোমেলো ম্যাক এলডিএপি সার্ভারকে হ্যাক করা থেকে পুরো এন্টারপ্রাইজের মালিকানা পেতে কীভাবে যায়?

শঙ্কিত হবেন না এটি এন্টারপ্রাইজ নেটওয়ার্কগুলির পক্ষে একটি বিশাল হুমকি নয় যা নিবন্ধের এই নিবন্ধটির দ্বারা প্রস্তাবিত ।

অ্যাপল সিংহ নতুন, এবং অন্য অপারেটিং সিস্টেমের অনুরূপ ত্রুটির তুলনায় এই বাগটি একটি অসতর্কিত মনোযোগ পাচ্ছে। এই একই সমস্যার কয়েকটি শান্ত বিবরণ এখানে দেওয়া হল:

• " ম্যাক ওএস এক্স লায়ন এলডিএপি মাধ্যমে প্রমাণীকরণ করার সময় পাসওয়ার্ডগুলি পরীক্ষা করতে ব্যর্থ হয়েছে "।
• নগ্ন নিরাপত্তা.সোফোস ডট কম থেকে পল ডকলিন এই সমস্যাটি সম্পর্কে আরও যুক্তিযুক্ত একটি টুকরো লিখেছেন এবং এর পিছনে হাইপও রয়েছে।

এটি একটি অ্যাপল লায়ন সিস্টেমের স্থানীয় শোষণ যা কেবলমাত্র সেই ব্যবস্থাকেই প্রভাবিত করে। অ্যাপল এখনও কোনও বিশদ সরবরাহ করতে পারেনি। এই সমস্যাটি আমি কীভাবে বুঝতে পারি তা এখানে: যদি কেউ একবার অ্যাপল লায়ন সিস্টেমে সফলভাবে লগইন করে, তবে অন্য যে কোনও পাসওয়ার্ড দিয়ে একই সিস্টেমে লগ ইন করতে পারে। এটি সেই সিস্টেমের জন্য একটি গুরুতর সমস্যা, তবে ক্ষতিটি বেশিরভাগ ক্ষেত্রেই নির্দিষ্ট সিস্টেমের মধ্যে সীমাবদ্ধ। দুর্ভাগ্যক্রমে সেই সিস্টেমটি এখন কম-বিশ্বস্ত এবং আপনার নেটওয়ার্কে এটি চালু থাকতে পারে।

এই সমস্যাটি কোনও হ্যাকারকে নিজের AD / LDAP সার্ভারের নিজের দ্বারা নিজেই অনুমতি দেয় না। আপনার AD / LDAP সার্ভারগুলি এখনও কোনও এলডিএপি ক্লায়েন্টের থেকে কোনও ভুল এলডিএপি অনুমোদনের অনুরোধ প্রত্যাখ্যান করবে। বাইপাস করার জন্য এলডিএপি সার্ভার বা এলডিএপি প্রোটোকল বা একটি ভুল কনফিগার্ড সার্ভারের একটি বড় ত্রুটি থাকা দরকার যা উপরে বর্ণিত সমস্যাটি সম্পূর্ণ ভিন্ন একটি সমস্যা।

মনে রাখবেন যে এই সমস্যাটি কেবলমাত্র অ্যাপল লায়ন সিস্টেমগুলিকেই প্রভাবিত করে যা প্রমাণীকরণের জন্য এলডিএপি ব্যবহার করে। বেশিরভাগ সংস্থায় এটি ক্লায়েন্টের খুব কম সংখ্যক হবে। একটি অ্যাপল সিংহ সার্ভারটি আরও দুর্বল হতে পারে, তবে অ্যাপলকে সমস্যাটির বিষয়ে বিস্তারিত জানানো দরকার এবং তারা এখনও এই সমস্যাটি নিয়ে খুব বেশি আগমন করেনি। আপনি কি কল্পনা করতে পারেন যে এত দীর্ঘ সময়ের জন্য রেডহ্যাট জনসমক্ষে পরিচিত দুর্বলতার উপর তথ্য ধরে রেখেছে?

স্ল্যাশডট দ্বারা লিখিত নিবন্ধে দুর্বলতার সমস্যাটি বেশ ভালভাবে ব্যাখ্যা করা হয়েছে।

আসল সমস্যাটি হ'ল একবার যদি কেউ নেটওয়ার্কের যে কোনও লায়ন মেশিনে চলে আসে যা এলডিএপি ব্যবহার করে এটির অনুমোদনের পদ্ধতি হিসাবে, আপনি এলডিএপি ডিরেক্টরিটির বিষয়বস্তু পড়তে পারেন। যা আপনাকে নেটওয়ার্কে এমন সমস্ত অ্যাকাউন্টে অ্যাক্সেস দেবে যা কেন্দ্রীয় প্রমাণীকরণ ব্যবহার করে। অতিরিক্তভাবে এটি আপনাকে এলডিএপি অনুমোদনের সিস্টেম দ্বারা সুরক্ষিত যে কোনও কিছুতে অ্যাক্সেস দেয় । মূলত, আপনি এখন সেই নেটওয়ার্কের সমস্ত কিছুর মালিক।

পার্শ্ব নোট হিসাবে, আমি আগ্রহী যদি এটি এলডিএপি অনুমোদন বা অন্তর্নিহিত (সম্ভবত কার্বোরোস) প্রমাণীকরণ সিস্টেমের কোনও বাগ হয়।

এছাড়াও, আপনি যদি নিজের অনুমোদনের উত্স হিসাবে ওপেনটি ব্যবহার করেন না (ওপেনএলডিএপি, অ্যাক্টিভ ডিরেক্টরি, এনডিএস ইত্যাদি) তবে আপনি এটি দ্বারা প্রভাবিত হন না।

আপনার নির্দিষ্ট প্রশ্নের উত্তর দিতে:

যে কেউ ওপেনএলডিএপি দ্বারা সুরক্ষিত হচ্ছে তার নির্ভুলতা ব্যাখ্যা করতে পারে

আপনার আইটি অবকাঠামো অনুমোদনের জন্য এলডিএপি ব্যবহারের জন্য কী সেটআপ করেছে তার উত্তর "এটি নির্ভর করে ..."।