Mac OS X может, в некоторых случаях, передавать LDAP пароль в открытом виде
| Дата публикации: | 09.06.2003 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1777 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Уязвимость обнаружена в Apple's Mac OS X Server. Когда используется Kerberos login с LDAPv3 сервером, пароль пользователя передается в открытом виде.
Сообщается, что уязвима функция 'Login Window' с неустановленным атрибут 'AuthenticationAuthority’. Функция попытается подтвердить подлинность, используя зашифрованный пароль, и затем выполнит 'simple bind', который передает пароль в открытом виде. Пользователь, способный контролировать сетевой трафик между OS X сервером и LDAP сервером, может получить пароль в течении передачи. Уязвимость обнаружена в Mac OS X 10.2 Applе выпустил инструкцию, в которой описывается способ предотвращение обнаруженной проблемы: http://docs.info.apple.com/article.html?artnum=107579
|
| Ссылки: | Mac OS X Server: How to Avoid Sending Clear Passwords in a Kerberos |