LDAP 伺服器 NULL Bind 連線資訊洩漏
medium Nessus Plugin ID 10723
語系:
概要
遠端 LDAP 伺服器允許匿名存取。說明
根據目前遠端主機上的 LDAP 伺服器設定,使用者可以不需驗證 (即「NULL BIND」) 即可連線並查詢資訊。雖然允許的查詢有相當限制,但攻擊者仍可找到有用資訊而洩漏。此外掛程式無法辨識使用 LDAP v3 的伺服器,因為該版本的通訊協定要求匿名存取 (即「NULL BIND」)。
解決方案
將服務設為不允許 NULL BIND。Plugin 詳細資訊
嚴重性: Medium
ID: 10723
檔案名稱: ldap_null_bind.nasl
版本: 1.39
類型: remote
系列: Misc.
已發布: 2001/8/13
已更新: 2023/8/28
支援的感應器: Nessus
風險資訊
CVSS 評分論據: Score based on potential information disclosure.
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: manual
CVSS v3
風險因素: Medium
基本分數: 5.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
弱點資訊
弱點發布日期: 1999/3/15