ГлавнаяБаза уязвимостей БДУ → BDU:2023-02410
7.8высокая

BDU:2023-02410

Уязвимость средства подключения к LDAP-серверу LDAP connector сервера Java Remote Connector Server (RCS) и системы управления идентификацией OpenIDM, связанная с отсутствием защиты передаваемых данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2023-05-10
Описание

Уязвимость средства подключения к LDAP-серверу LDAP connector сервера Java Remote Connector Server (RCS) и системы управления идентификацией OpenIDM связана с отсутствием защиты передаваемых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
OpenIDMLDAP connector (от 1.5.20.9 до 1.5.20.13 включительно)Java Remote Connector Server (RCS)
Способ устранения

Использование рекомендаций:
https://backstage.forgerock.com/knowledge/kb/article/a14149722
https://backstage.forgerock.com/downloads/browse/idm/featured

Компенсирующие меры:
Для смягчения влияния уязвимости рекомендуется отключить дополнительную функцию StartTLS в соединителе LDAP и настроить подключение LDAP через SSL (LDAPS), установив значения: "ssl": true, "startTLS": false.
Более подробная информация по настройке отображена в бюллетене:
https://backstage.forgerock.com/docs/idm/7/connector-reference/chap-ldap.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://backstage.forgerock.com/knowledge/kb/article/a14149722https://backstage.forgerock.com/downloads/browse/idm/all/productId:idm-connectors/subProductId:ldap/minorVersion:1.5/version:1.5.20.14
Проверьте безопасность своего сайта и почты → Полная проверка домена