这些Lion LDAP漏洞报告中到底发生了什么？

只需在OSX上阅读有关LDAP损坏的Slashdot线程。谁能确切解释OpenLDAP所保护的内容以及为什么Lion机器上存储的数据以外的其他内容可能会受到威胁？

文章引用：

“作为笔测试人员，我们要做的第一件事就是攻击LDAP服务器，”审计公司Errata Security的首席执行官Rob Graham说。“一旦我们拥有LDAP服务器，我们便拥有了一切。我可以走到（组织内的）任何一台笔记本电脑上并登录。”

从黑客攻击随机的Mac LDAP服务器到拥有整个企业，该如何发展？

不要惊慌。本文对The Register的建议并不对企业网络构成巨大威胁。

Apple Lion是新的，因此与其他操作系统上的类似漏洞相比，此漏洞引起了不成比例的关注。以下是对此问题的一些较冷静的描述：

• “ Mac OS X Lion通过LDAP进行身份验证时无法检查密码 ”。
• 来自Nakedsecurity.sophos.com的Paul Ducklin 就此问题及其背后的炒作撰写了更合理的文章。

这是Apple Lion系统上的本地漏洞，仅影响该系统。苹果尚未提供任何细节。这就是我对问题的理解：如果某人成功登录到Apple Lion系统，那么其他任何人都可以使用任何密码登录同一系统。对于该系统而言，这是一个严重的问题，但是损坏主要限于该特定系统。不幸的是，该系统现在不那么受信任，并且可能在您的网络上。

此问题不允许黑客独自拥有自己的AD / LDAP服务器。您的AD / LDAP服务器仍将拒绝来自任何LDAP客户端的任何不正确的LDAP授权请求。要绕过此问题，将需要LDAP服务器或LDAP协议上的重大缺陷或服务器配置错误，这是与上述问题完全不同的问题。

请记住，此问题仅影响使用LDAP进行身份验证的Apple Lion系统。在大多数组织中，这将是很少的客户。Apple Lion服务器可能更容易受到攻击，但是Apple需要详细说明该问题，但是他们对这个问题还不太满意。您能想象RedHat在这么长时间内不公开某个已知漏洞的信息吗？

由slashdot链接的文章中很好地解释了该漏洞的问题。

真正的问题是，一旦有人进入使用LDAP作为授权方法的网络上的任何Lion计算机，您就可以读取LDAP目录的内容。这样您就可以访问网络上所有使用中央身份验证的帐户。此外，它使您可以访问任何保证由LDAP授权系统。基本上，您现在拥有该网络上的所有内容。

附带说明一下，我很好奇它是否是LDAP授权或基础（可能是kerboros）身份验证系统中的错误。

另外，如果您不使用LDAP作为授权源（OpenLDAP，Active Directory，NDS等），那么您将不会受到影响。

要回答您的特定问题：

谁能确切解释OpenLDAP保护的内容

答案是“这取决于...”，这取决于您的IT基础架构已设置为使用LDAP进行授权。