| Sendmail-SA-200607-01 | Security Advisory
Sendmail, Inc. |
|---|
| トピック: | LDAPの空パスワード認証 |
|---|---|
| クラス: | 権限のエスカレーション |
| 深刻度: | 最重要 |
| 公開日: | 2006-07-24 09:00 PDT |
| 影響のあるソフトウェア: |
|
対策済みソフトウェア: |
|
上記のソフトウェアについての説明や他のセキュリティアドバイザリなど、Sendmail,Inc のセキュリティアドバイザリ全般についてお知りになりたい方は こちらをご覧ください。
LDAPを利用したエンドユーザの認証を提供するSendmail製品、例えば、Sendmail SwitchのSMTP認証や SAMSのIMAPおよびPOPの認証は、authdという認証用のデーモンを使います。
authdデーモンはユーザが送ってきたパスワードを正しいか照合するために、渡されたパスワードを元にLDAPバインド処理を行い、バインド処理の結果を利用します。
特定のLDAPサーバは、ユーザ名と空のパスワードによるLDAPバインドの実施により、"非認証"のアクセスを提供する機能を持ちます。これは、ユーザの情報を一切送信しないanonymous(匿名)バインドとは異なる点にご注意下さい。非認証バインドでは、例え正しいパスワードを持っているユーザでも、そのユーザ名とnullパスワードで認証の成功を許す機能です。Sendmail Message DirectoryとOpenLDAPは非認証バインドを許可するよう設定可能ですが、デフォルトでは無効になっています。Novell eDirectory Server 8.7.3.5、Microsoft Windows 2003 Active Directory、そしてSun ONE Directory Server 5.2 ではデフォルトで有効になっています。他のベンダが提供しているLDAPサーバではデフォルトの設定で有効になっている場合もあります。
authdは、LDAPバインドの結果をつかって、認証処理の結果としますので、authdが非認証バインドが有効になっているLDAPサーバと通信する場合、ユーザは存在するアカウント名であればいかなるものでも、空のパスワードでのログインが可能になります。
LDAPサーバが設定オプションを提供している場合は、非認証バインド処理を無効にすることで問題を解決できます。例えば、Sendmail Messaging DirectoryとOpenLDAPサーバではslapd.conf設定ファイルから"allow bind_anon_dn"行を削除します(注:デフォルトではこのオプションは設定されていません)。下記のリファレンスに紹介するリンクにおいていくつかのLDAPサーバでの設定方法が説明してあります。他のLDAPサーバについてはマニュアルを御覧になるかベンダにお問い合わせ下さい。
Sentrionをお使いのお客様は、Sentrion 1.5に含まれる、LDAP プロキシキャッシュ機能を使うことで問題を回避できます。
Sendmail, Incはこの問題に対処したauthdのパッチをすでに提供しております。パッチにより、空のパスワード使った認証を無効にします。そして、攻撃者は非認証バインドを悪用できなくなります。
Sentrionをお使いのお客様は上記のワークアラウンドを使って問題を解決できます。パッチについては早期にリリースする予定です。
パッチはサポート契約のあるお客様にはそれぞれダウンロードページよりご提供いたします。
https://www.sendmail.com/customerlogin/
サポート契約をお持ちでない方は次のページよりダウンロードできます
ftp://ftp.sendmail.com/unsupported/authd-patch-2.0.3-Linux.tar.gz
ftp://ftp.sendmail.com/unsupported/authd-patch-2.0.3-SunOS.tar.Z
インストール方法については、それぞれのパッチに含まれるREADMEをご覧ください。それぞれのパッチのチェックサムを次に示します。
MD5 (authd-patch-2.0.3-Linux.tar.gz) = a4e239bcf2e8099e2246deb25059738e
MD5 (authd-patch-2.0.3-SunOS.tar.Z) = 2f14bf975edbba165212b9bd08ee51c5