En sistemas configurados con autenticación basada en LDAP, con el servidor LDAP permitiendo binds anónimos, y con funcionalidad de busqueda de grupos mediante módulos auxiliares (plug-in) LDAP de seguridad (IBMLDAPauthserver), un usuario remoto podrá conectar con la base de datos sin autenticación.
IBM ha corregido en este problema en la versión 9.5 fixpak 4 (APAR JR32268), o descargando los últimos plugins de seguridad LDAP desde:
https://www14.software.ibm.com/webapp/iwm/web/reg/pick.do?lang=en_US&source=swg-dm-db2ldap&S_TACT=swg-dm-db2ldap
Antonio Ropero
antonior@hispasec.com
antonior@hispasec.com
Más información:
JR32268: Unauthorized connections possible on database servers with ldap-based authentication
http://www-01.ibm.com/support/docview.wss?uid=swg1JR32268
No hay comentarios:
Publicar un comentario