forum.opennet.ru - "OpenLDAP + alias + ldbm = дыра в безопасности?" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenLDAP + alias + ldbm = дыра в безопасности?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenLDAP + alias + ldbm = дыра в безопасности?"
Сообщение от geekkoo (ok) on 01-Апр-07, 06:42
Никто не замечал, что alias dereferencing на OpenLDAP (2.3.34) на базе ldbm (они менее популярны, чем bdb, но немного более быстрые) за один-два захода валит в корку slapd сервер? Т.е. достаточно пару раз подряд сделать ldapsearch -a always -b... на ветке, где есть объекты типа aliasedObject и slapd отправляется к праотцам. Т.е. чтоба повалить сервер достаточно права на чтение и разрешения на alias dereference (maxderefdepth > 0 в slapd.conf). На базах типа bdb этот глюк отсутствует.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

OpenLDAP + alias + ldbm = дыра в безопасности?, bass, 09:16 , 01-Апр-07, (1)

OpenLDAP + alias + ldbm = дыра в безопасности?, geekkoo, 10:18 , 01-Апр-07, (2)

Сообщения по теме [Сортировка по времени, UBB]

1. "OpenLDAP + alias + ldbm = дыра в безопасности?"

Сообщение от bass (??) on 01-Апр-07, 09:16

>Никто не замечал, что alias dereferencing на OpenLDAP (2.3.34) на базе ldbm (они менее популярны, чем bdb, но немного более быстрые) за один-два захода валит в корку slapd сервер? Т.е. достаточно пару раз подряд сделать ldapsearch -a always -b... на ветке, где есть объекты типа aliasedObject и slapd отправляется к праотцам. Т.е. чтоба повалить сервер достаточно права на чтение и разрешения на alias dereference (maxderefdepth > 0 в slapd.conf). На базах типа bdb этот глюк отсутствует.
ldbm depricated в ветке 2.3, и крайне не рекомендуется ведущими слаповодами.
2.3.34 devel bug hunting релиз, стабильный 2.3.32
думаю вам стоит написать в openldap-devel эту ошибку.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "OpenLDAP + alias + ldbm = дыра в безопасности?"

Сообщение от geekkoo (ok) on 01-Апр-07, 10:18

>ldbm depricated в ветке 2.3, и крайне не рекомендуется ведущими слаповодами.
Я что-то не нашел указаний, что ldbm deprecated. Он по умолчанию не собирается, но добавляется с помощью ключа configure. ИМХО, ldbm - это как раз "родной" движок для OpenLDAP, поскольку является их собственной оригинальной разработкой. Вообщем-то, они его специально затачивали под LDAP, поэтому на тестах он обычно выигрывает у всех остальных движков.
>2.3.34 devel bug hunting релиз, стабильный 2.3.32
Да я это и на 2.3.14 видел. Специально ставил последний вариант, чтобы убедиться.
>думаю вам стоит написать в openldap-devel эту ошибку.
Это правильно, конечно. Я вот только решил статистику набрать, вдруг кто-то скажет, что у него всё работает, а это у меня руки кривые :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "OpenLDAP + alias + ldbm = дыра в безопасности?"
Сообщение от bass (??) on 01-Апр-07, 09:16
>Никто не замечал, что alias dereferencing на OpenLDAP (2.3.34) на базе ldbm (они менее популярны, чем bdb, но немного более быстрые) за один-два захода валит в корку slapd сервер? Т.е. достаточно пару раз подряд сделать ldapsearch -a always -b... на ветке, где есть объекты типа aliasedObject и slapd отправляется к праотцам. Т.е. чтоба повалить сервер достаточно права на чтение и разрешения на alias dereference (maxderefdepth > 0 в slapd.conf). На базах типа bdb этот глюк отсутствует. ldbm depricated в ветке 2.3, и крайне не рекомендуется ведущими слаповодами. 2.3.34 devel bug hunting релиз, стабильный 2.3.32 думаю вам стоит написать в openldap-devel эту ошибку.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "OpenLDAP + alias + ldbm = дыра в безопасности?"
	Сообщение от geekkoo (ok) on 01-Апр-07, 10:18
	>ldbm depricated в ветке 2.3, и крайне не рекомендуется ведущими слаповодами. Я что-то не нашел указаний, что ldbm deprecated. Он по умолчанию не собирается, но добавляется с помощью ключа configure. ИМХО, ldbm - это как раз "родной" движок для OpenLDAP, поскольку является их собственной оригинальной разработкой. Вообщем-то, они его специально затачивали под LDAP, поэтому на тестах он обычно выигрывает у всех остальных движков. >2.3.34 devel bug hunting релиз, стабильный 2.3.32 Да я это и на 2.3.14 видел. Специально ставил последний вариант, чтобы убедиться. >думаю вам стоит написать в openldap-devel эту ошибку. Это правильно, конечно. Я вот только решил статистику набрать, вдруг кто-то скажет, что у него всё работает, а это у меня руки кривые :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]