これらのLion LDAP脆弱性レポートで一体何が実際に起こっているのですか？

OSXでのLDAPの破損に関するSlashdotスレッドを読んでください。OpenLDAPによって保護されているもの、およびLionマシンに保存されているデータ以外のものが危険にさらされる理由を誰かが正確に説明できますか？

記事からの引用：

「ペンテスターとして、私たちが最初に行うことの1つはLDAPサーバーを攻撃することです」と監査会社Errata SecurityのCEOであるロブ・グラハムは言った。「LDAPサーバーを所有したら、すべてを所有します。私は（組織内の）任意のラップトップに近づいて、それにログインできます。」

ランダムなMAC LDAPサーバーのハッキングから企業全体の所有にどうやって進むのでしょうか？

心配しないでください。これは、The Registerのこの記事で示唆されているエンタープライズネットワークへの大きな脅威ではありません。

Apple Lionは新しいため、他のオペレーティングシステムの同様の欠陥と比較すると、このバグはかなり多くの注目を集めています。これは、同じ問題の落ち着いた説明です。

• 「Mac OS X Lionは、LDAP経由で認証するときにパスワードのチェックに失敗します」。
• nakedsecurity.sophos.comのPaul Ducklinが、この問題とその背後にある誇大宣伝についてより合理的な記事を書いています。

これはApple Lionシステムでのローカルなエクスプロイトであり、そのシステムにのみ影響します。Appleはまだ詳細を提供していない。私が問題を理解する方法は次のとおりです。誰かがApple Lionシステムに一度正常にログインした場合、他の誰もが任意のパスワードで同じシステムにログインできます。これはそのシステムにとって深刻な問題ですが、被害は主にその特定のシステムに限定されます。残念ながら、そのシステムは現在信頼性が低く、ネットワーク上にある可能性があります。

この問題では、ハッカーが自分でAD / LDAPサーバーを所有することはできません。AD / LDAPサーバーは、LDAPクライアントからの不正なLDAP認証リクエストを拒否します。これを回避するには、LDAPサーバーまたはLDAPプロトコルに大きな欠陥があるか、サーバーの設定に誤りがあります。これは、上記の問題とはまったく異なる問題です。

この問題は、認証にLDAPを使用するApple Lionシステムにのみ影響することに注意してください。ほとんどの組織では、これは非常に少数のクライアントになります。Apple Lionサーバーの方が脆弱である可能性がありますが、Appleはこの問題について詳しく説明する必要があり、まだこの問題についてはあまり発表されていません。RedHatがこのような長い間、公に知られている脆弱性に関する情報を保持していることを想像できますか？

脆弱性の問題は、スラッシュドットによってリンクされた記事でかなりよく説明されています。

真の問題は、承認方法としてLDAPを使用しているネットワーク上のLionマシンに誰かが入ると、LDAPディレクトリの内容を読み取ることができることです。これにより、中央認証を使用するネットワーク上のすべてのアカウントにアクセスできます。さらに、LDAP承認システムによって保護されたあらゆるものにアクセスできます。基本的に、あなたは今、そのネットワーク上のすべてを所有しています。

余談ですが、LDAP承認のバグなのか、基盤となる（おそらくkerboros）認証システムのバグなのか、気になります。

また、LDAPを認証ソース（OpenLDAP、Active Directory、NDSなど）として使用していない場合、これによる影響はありません。

特定の質問に答えるには：

OpenLDAPによって保護されているものを誰かが正確に説明できますか

答えは、「それは...に依存します」というのは、承認にLDAPを使用するためにITインフラストラクチャが設定したものに依存します。