[ SET ] Revelacion de password en Netscape Enterprise Server Octubre 2000 http://www.set-ezine.org ---[ CONTENIDOS ]--- - 01 - Sinopsis - 02 - Descripcion - 03 - Solucion - 01 ---------------------- Sinopsis ------------------------ Es posible que Netscape Enterprise Server (NES) en plataformas Solaris revele la password de una cuenta LDAP cuando ha sido configurado para acceder al servicio usando una cuenta especifica. - 02 ---------------------- Descripcion ------------------------ Netscape Enterprise Server ofrece la opcion de configurar una cuenta que sera usada para acceder a la base de datos LDAP donde se guarda toda la informacion de usuarios, por defecto no hay ninguna cuenta establecida a tal fin de manera que el bug se manifiesta cuando *manualmente* el administrador establece una cuenta a tal fin. NES usara la cuenta cada vez que necesite consultar informacion de usuarios via LDAP y guardara la informacion de dicha cuenta *en texto claro* dentro del archivo '/etc/netscape.mail.conf' que tiene permiso universal de lectura con lo cual el nombre de la cuenta y la password estan al alcance de cualquiera que lea el fichero. Si la cuenta configurada tiene privilegios de administrador eso significa el compromiso completo del servidor y todos los datos de cuentas de usuario. - 03 ---------------------- Solucion ------------------------ Si es necesario configurar una cuenta LDAP para el uso de NES es recomendable crear una cuenta solo para ese fin y sin ningun privilegio especial, ademas de cambiar los permisos en '/etc/netscape.mail.conf' para proteger la clave. URL: Iplanet http://www.iplanet.com SET http://www.set-ezine.org SET .1996-2000.