Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/04/2011
Evasión de la autenticación en IBM AIX LDAP
Se ha informado de una vulnerabilidad en IBM AIX que podría ser explotada por gente maliciosa para eludir determinadas funciones de seguridad.Se ha informado de una vulnerabilidad en IBM AIX que podría ser explotada por gente maliciosa para eluudir determinadas funciones de seguridad.
La vulnerabilidad está provocada por un error sin especificar, que podría ser aprovechado para autenticarse correctamente en el sistema con una contraseña incorrecta.
Para un ataque exitoso es necesario que la directica "authtype" en /etc/security/ldap/ldap.cfg esté configurada a "ldap_auth". Adicionalmente, la "stanza" por defecto debe estar configurada como "SYSTEM = "LDAP or compat"" si el usuario no tiene su propia "stanza" o, por otro lado, el usuario necesita tener un atributo "SYTEM = "LDAP or compat"" en el archivo /etc/security/user.
Sistemas Afectados:AIX 6.x
Referencias:None
Solución:Aplicar APAR IZ97416 cuando esté disponible.
Notas:http://aix.software.ibm.com/aix/efixes/security/ldapauth_advisory.asc