CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/04/2011

Evasió de l’autenticació en IBM AIX LDAP

S'ha informat d'una vulnerabilitat en IBM AIX, que podria ser explotada per gent maliciosa per a eludir determinades funcions de seguretat.

Risc: Mitjà

S'ha informat d'una vulnerabilitat en IBM AIX, que podria ser explotada per gent maliciosa per a eludir determinades funcions de seguretat.

La vulnerabilitat està provocada per un error sense especificar, que podria ser aprofitat per a autenticar-se correctament en el sistema amb una contrasenya incorrecta.

Per a ser un atac reeixit, hi cal que la directiva "authtype", en /etc/security/ldap/ldap.cfg, estiga configurada a "ldap_auth". Addicionalment, la "stanza" per defecte ha d'estar configurada com "SYSTEM = "LDAP or compat"" si l'usuari no té la seua pròpia "stanza" o, d'altra banda, l'usuari necessita tindre un atribut "SYTEM = "LDAP or compat" en l'arxiu /etc/security/user.

Sistemes Afectats:

AIX 6.x

Referències:

None

Solució:

Apliqueu APAR IZ97416 quan estiga disponible.

Notes:

http://aix.software.ibm.com/aix/efixes/security/ldapauth_advisory.asc

Font: Secunia Advisories

CSIRT-CV