OCTUBRE 2000 - REVELACION DE PASSWORD EN NETSCAPE ENTERPRISE SERVER
|
< S I N O P S I S > |
Es posible que Netscape Enterprise Server (NES) en plataformas Solaris
revele la password de una cuenta LDAP cuando ha sido configurado para
acceder al servicio usando una cuenta especifica.
|
|
< D E S C R I P C I O N > |
Netscape Enterprise Server ofrece la opcion de configurar una cuenta que
sera usada para acceder a la base de datos LDAP donde se guarda toda la
informacion de usuarios, por defecto no hay ninguna cuenta establecida
a tal fin de manera que el bug se manifiesta cuando *manualmente* el
administrador establece una cuenta a tal fin.
NES usara la cuenta cada vez que necesite consultar informacion de usuarios
via LDAP y guardara la informacion de dicha cuenta *en texto claro* dentro
del archivo '/etc/netscape.mail.conf' que tiene permiso universal de lectura
con lo cual el nombre de la cuenta y la password estan al alcance de
cualquiera que lea el fichero. Si la cuenta configurada tiene privilegios
de administrador eso significa el compromiso completo del servidor y todos
los datos de cuentas de usuario.
|
|
< S O L U C I O N > |
Si es necesario configurar una cuenta LDAP para el uso de NES es
recomendable crear una cuenta solo para ese fin y sin ningun privilegio
especial, ademas de cambiar los permisos en '/etc/netscape.mail.conf'
para proteger la clave.
URL:
http://www.iplanet.com-- Iplanet
|
Permiso otorgado para su copia y distribucion. <Version texto>
|