Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Autentifikazioari ihes egitea ABBren eSOMS-en

Argitalpen data: 2018/08/13

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • eSOMS, 6.0.2 bertsioa

Azalpena:

Ikertzaile anonimo batek autentifikazioari ihes egitearen erako ahultasun baten berri eman du, ABBren eSOMS produktuei eragiten diena. Aplikaziora sartzea ahalbidetu lezake erabiltzaile legitimo modura.

Konponbidea:

Ahultasun hau konponduko duen 6.0.3 partxea prestatzen ari da ABB. Egiaztapen bat gehituko dio eta horrek ez du utziko SOMSen autentifikatzen, LDAP zerbitzariaren konfiguraziotik independentea den pasahitzik gabe.

Bitartean bezeroei aholkatzen zaie 'Unauthenticated Authentication' aukera desgaituta dagoela ziurtatzea LDAP konfigurazioaren aukeretan. Ziurtatu beharra dago eSOMSen web.config fitxategian soilik ondoko balioak daudela konfiguratuta: ? 'LDAP_Path', 'LDAP_User_Search' eta 'LDAP_SSL_Enabled'.

Xehetasuna:

LDAP autentifikazio zerbitzariak konfiguratu daitezke autentifikazio anonimoa baimentzeko. eSOMSen LDAP autentifikazioa konfiguratzen denean, erabiltzaile batek pasahitzik gabe saioa has dezake ondorengo aukerak konfiguratuta badaude:

  • LDAP zerbitzaria konfiguratuta dago 'Unauthenticated Authentication' baimentzeko
  • web.config fitxategian balio giltzarri gehiago konfiguratzen direnean, honako hauez gain: 'LDAP_Path', 'LDAP_User_Search' eta 'LDAP_SSL_Enabled'.
Etiketak: Ahultasuna