English

◀◁ 뒤로 취약점ID 23016 위험도 30 포트 389 프로토콜 TCP 분류 LDAP 상세설명 해당 LDAP 서버는 부적절하게 설정되어 있으며 Anonymous BASE를 허용 (디렉토리 BASE가 NULL로 셋되어 있음)하고 있다. LDAP이 LDAP 검색에서 NULL base를 허용해 주면 임의의 사용자가 namingContexts에 있는 정보와 지원되는 컨트롤들에 대한 검색을 해 볼 수 있게 된다. Attacker는 이 정보를 사용하여 디렉토리 리스팅과 같은 악의적인 행위를 할 수 있다. NULL BIND도 허용하고 있다면 Anonymous 사용자는 'LdapMiner'와 같은 툴을 이용하여 LDAP 서버에게 질의를 보낼 수 있다. * 알림: rootDSE 검색 및 바인딩이 아닌 Active Directory에 대한 익명 LDAP(Lightweight Directory Access Protocol) 작업이 Microsoft Windows Server 2003에서 기본적으로 허용되지 않습니다. http://support.microsoft.com/kb/326690/ LDAP V3 에서는 rootdse 검색을 위해 anonymous/NULL 를 disable 할수없습니다. http://tools.ietf.org/html/rfc2251 * 참고 사이트: http://www.iss.net/security_center/static/1425.php ftp://ftp.isi.edu/in-notes/rfc2251.txt ftp://ftp.isi.edu/in-notes/rfc2820.txt * 영향을 받는 플랫폼: LDAP Server 해결책 해당 LDAP 서버상에서 NULL BASE 질의들을 Disable 시켜야 한다. 그리고 사용자들이 Tree의 Base를 Dump 하거나 Base의 Object에 대한 지식없이 요청을 보내는 것을 방지하기 위해 접근제어(ACL)를 사용하여야 한다. Windows 플랫폼들의 경우: "pre-Windows 2000 compatibility"가 필요하지 않다면 다음과 같이 제거하면 된다: 1. cmd.exe를 시작한다. (Windows 시스템 시작 메뉴에서, 실행 선택, cmd.exe를 타이핑하고 확인을 클릭한다.) 2. 다음 명령을 타이핑하고 엔터 키를 누른다: net localgroup 'Pre-Windows 2000 Compatible Access' everyone /delete 3. 호스트를 재시작 한다. NetWare 플랫폼들의 경우: 다음 사이트를 참고하여 필요하지 않다면 LDAP에서 익명 Bind(anonymous bind)를 작동중지 혹은 제한한다: http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=3932155&sliceId=1&docTypeID=DT_TID_1_1&dialogID=6288673&stateId=0 0 6292116 기타: 해당 제조사에 문의하여 이 정보에 대해 알아본다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)