Varias implementaciones LDAP sufren de diversos problemas de seguridad
que permiten ataques de denegación de servicio y accesos no autorizados.
LDAP (Lightweight Directory Access Protocol) es un protocolo de
directorio jerárquico basado en el proyecto X.500 de OSI. El sistema
X.500, como otros muchos proyectos OSI (por ejemplo, el X.400 de
mensajería electrónica) era muy ambicioso y no ha llegado a tener
impacto comercial directo, pero las ideas y fundamentos que lo sostienen
se han reutilizado en otros contextos simplificados, como es el caso de
LDAP.
Diversas implementaciones LDAP contienen varios errores de seguridad que
permiten ataques de denegación de servicio y accesos no autorizados.
Están afectados, al menos, los siguientes productos:
* iPlanet Directory Server, version 5.0 Beta y versiones hasta la 4.13,
inclusive
* IBM SecureWay V3.2.1, bajo Solaris y Windows 2000
* Lotus Domino R5 Servers (Enterprise, Application, y Mail), versiones
previas a la 5.0.7a
* Teamware Office para Windows NT ySolaris, anterior a la versión 5.3ed1
* Qualcomm Eudora WorldMail para Windows NT, versión 2
* Microsoft Exchange 5.5 antes de Q303448 y Exchange 2000 antes de
Q303450
* Network Associates PGP Keyserver 7.0, antes del Hotfix 2
* Oracle Internet Directory, versiones 2.1.1.x y 3.0.1
* OpenLDAP, 1.x anteriores a 1.2.12 y 2.x anteriores a 2.0.8
Las vulnerabilidades han sido detectadas por el proyecto PROTOS,
utilizando herramientas automáticas en dos áreas: enviando paquetes con
codificaciones ilegales y enviando paquetes ilegales bajo la semántica
LDAP.
El resultado de utilizar dichas herramientas contra varias
implementaciones LDAP es descorazonador: muchos sistemas, incluyendo los
comerciales, fallan estrepitosamente y, en algunos casos, incluso pueden
llegar a permitir la ejecución de código arbitrario en el servidor.
Los detalles, implementación a implementación, se ilustran en los
boletines cuyo enlace se muestran al final.
La conclusión es clara: si usamos LDAP en nuestra red, debemos
asegurarnos de estar ejecutando la última versión. Esto es válido tanto
para implementaciones comerciales como para el proyecto OpenLDAP.
También es conveniente limitar el acceso al directorio LDAP lo máximo
posible, utilizando medidas perimetrales como cortafuegos o reglas de
acceso.
Debemos recordar que incluso el caso relativamente benigno de denegación
de servicio, la caída del servicio LDAP puede tener efectos muy graves
en el sistema o en toda una red, ya que el directorio puede contener
información necesaria para el correcto funcionamiento de la entidad
(claves criptográficas, direcciones de buzones de correo, directorio
telefónico, etc).
jcea@hispasec.com
Más información:
CERT Advisory CA-2001-18 Multiple Vulnerabilities in Several
Implementations of the Lightweight Directory Access Protocol (LDAP)
http://www.cert.org/advisories/CA-2001-18.html
Múltiples Vulnerabilidades en Varias Implementaciones de LDPA
(Lightweight Directory Access Protocol)
http://www.unam-cert.unam.mx/Boletines/boletin-UNAM-CERT-2001-019.html
Deja una respuesta