Security Lab

Mac OS X может, в некоторых случаях, передавать LDAP пароль в открытом виде

Дата публикации:09.06.2003
Дата изменения:17.10.2006
Всего просмотров:1744
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в Apple's Mac OS X Server. Когда используется Kerberos login с LDAPv3 сервером, пароль пользователя передается в открытом виде.

Сообщается, что уязвима функция 'Login Window' с неустановленным атрибут 'AuthenticationAuthority’. Функция попытается подтвердить подлинность, используя зашифрованный пароль, и затем выполнит 'simple bind', который передает пароль в открытом виде. Пользователь, способный контролировать сетевой трафик между OS X сервером и LDAP сервером, может получить пароль в течении передачи.

Уязвимость обнаружена в Mac OS X 10.2

Applе выпустил инструкцию, в которой описывается способ предотвращение обнаруженной проблемы:

http://docs.info.apple.com/article.html?artnum=107579

 

Ссылки: Mac OS X Server: How to Avoid Sending Clear Passwords in a Kerberos