Original-URL des Artikels: https://www.golem.de/0311/28710.html    Veröffentlicht: 28.11.2003 10:12    Kurz-URL: https://glm.io/28710

Sicherheit: MacOS X prüft Netzwerk-Zugriffe unzureichend

LDAP-Server müssen sich gegenüber MacOS X nicht authentifizieren

Ein Security Advisory von William Carrel beschreibt Probleme von MacOS X beim Umgang mit LDAP-Servern, da entsprechende Zugriffe nicht korrekt geprüft werden. So kann ein Angreifer etwa über ein WLAN-Netzwerk ohne großen Aufwand auf Daten eines PCs mit MacOS X zugreifen, ohne dass der Nutzer etwas davon bemerkt. Derzeit bietet Apple nur einen Workaround an; einen Patch zur Behebung dieses Architektur-Problems gibt es bislang nicht.

Laut den Informationen von William Carrel nimmt MacOS X Kontakt zu einem LDAP-Server auf, ohne dass sich dieser beim Betriebssystem authentifiziert. Darüber kann ein Angreifer vollen Zugriff auf ein System mit MacOS X erlangen und beliebige Kommandos ausführen. Apple hat das Verhalten in einem entsprechenden Security Bulletin bestätigt, beschreibt darin aber nur einen Workaround und bietet keinen Patch zur Abhilfe an.

Demnach müssen Nutzer in MacOS X über die "Verzeichnisdienste" für den Dienst "LDAPv3" die Funktion "Den vom DHCP-Server gelieferten LDAP-Server verwenden" respektive auf MacOS X 10.2 den Punkt "Verbindungsversuch mit DHCP-Protokoll" ausschalten. Das führt dazu, dass LDAP-Server künftig manuell zugewiesen werden müssen. Wird der LDAP-Dienst nicht benötigt, lässt sich dieser natürlich auch komplett deaktivieren, um nicht Opfer einer Attacke zu werden.

In lokalen Netzen muss ein Angreifer Zugang zum Netzwerk haben, was das tatsächliche Risiko eines Angriffs verringert. Anders sieht es bei WLAN-Zugängen aus, wo sich Angreifer recht bequem zwischenschalten können und so Zugang zu einem MacOS-X-System erlangen.  (ip)


Verwandte Artikel:
Apples Panther muss erneut auf den Behandlungstisch   
(05.11.2003, https://glm.io/28333 )
Retrofit Kit: Alte MacOS-Versionen für APFS fit machen   
(22.02.2018, https://glm.io/132913 )
iOS und MacOS: Apple will sich mehr Zeit bei Software-Entwicklung lassen   
(31.01.2018, https://glm.io/132486 )
Apple mit weiteren Sicherheits-Patches für MacOS X   
(21.11.2003, https://glm.io/28612 )
Java-Update für MacOS X 10.3 erschienen   
(13.11.2003, https://glm.io/28486 )

Links zum Artikel:
Apple: http://www.apple.com/de
Apple (.com): http://www.apple.com

© 1997–2020 Golem.de, https://www.golem.de/