WINDOWS 2000: SICHERHEITSLÜCKE BEI LDAP ÜBER SSL
In Windows 2000 wurde bei der Nutzung von LDAP über SSL eine Sicherheitslücke gefunden. Diese Lücke wurde in einer Funktion entdeckt, die nur zur Verfügung steht, wenn der LDAP-Server so konfiguriert ist, dass er über SSL angesprochen wird und die Benutzer ihre Passwörter selbst ändern können. Sie sollte natürlich Änderungen nur dann übernehmen, wenn sich der Benutzer vorher erfolgreich authentisiert hat. Es besteht aber die Möglichkeit, dass aufgrund eines Fehlers Angreifer auch ohne diese Authentisierung das Domain-Passwort anderer Benutzer verändern können - auch das des Administrators.
Microsoft hat unter folgendem Link einen Patch zur Verfügung gestellt.
http://www.microsoft.com/Downloads/Release.asp?Relea seID=31065
Quelle: http://www.aerasec.com/