¿Deseas hackear? Mac OS X Lion y LDAP te lo permiten

Lion - Supergatito!

Mac OSX Lion es el último grito de la moda en los usuarios de computadoras Apple Mac y por supuesto, es un sistema operativo con una gran cantidad de features nuevas utilidades pero la explotación de bugs de forma totalmente “legal” se lleva la corona.

Recientemente se descubrió un bug en el protocolo de autenticación LDAP que permite a los usuarios del flamante Mac OSX Lion hacer uso de cualquier recurso o servicio en la red sin la necesidad de proporcionar una contraseña válida.

Estos informes ya datan de hace un par de meses y se esperaba que la actualización de Mac OSX 10.7 a la 10.7.1 solucionara este problema. No lo hizo.

Ya han habido un sinfín de reportes de este problema y sin embargo, la empresa de Cuppertino no ha hecho nada por solucionarlo y al día de hoy no se tienen mas novedades al respecto.

¿Soy vulnerable?
¡Por supuesto que si! Siempre y cuando seas usuario de cualquier sistema operativo que no sea Mac OSX Lion ya que los malditos Apple Fan Boys no son los afectados por este bug sino todo lo contrario. Pueden hacer uso ilimitado de los recursos de cualquier red sin poseer la clave para el mismo. EN TU CARA LINUX!

Esto no significa que podrás colgarte de redes wireless sin tener la clave. Pero una vez que estés en una red, podrás acceder a carpetas compartidas, impresoras y cualquier recurso de red simplemente con poner cualquier clave en caso que nos la solicite.

7 Comments

  1. Más datos:


    Open Directory

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: un usuario podría iniciar sesión sin la contraseña

    Descripción: cuando Open Directory está enlazado con un servidor LDAPv3 usando RFC2307 o asignaciones estándar, como cuando no hay atributo de AuthenticationAuthority para un usuario, un usuario LDAP podría iniciar sesión sin contraseña. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3226: Jeffry Strunk de la University of Texas en Austin, Steven Eppler de Colorado Mesa University, Hugh Cole-Baker, y Frederic Metoz del Institut de Biologie Structurale

    Fuente: http://support.apple.com/kb/HT5002?viewlocale=es_ES&locale=es_ES

    Está claro que es un fallo de seguridad que perjudica solo a los sistemas Lion.
    Creo haber entendido que ya hay una actualización para corregirlo.

    La actualización es la 2011-006 para OS X Lion v10.7.2 según entendí.

    Un saludo.

    Responder
  2. Eso de:
    EN TU CARA LINUX!
    Será porque tienes poca idea de lo que hablas.

    Por otro lado, te invito a mi red cuando quieras, y a ver si es verdad eso de que tienes acceso a mis recursos sin poseer la clave de acceso.

    Eso que dices pasará en redes con el sistema operativo Lion, no con otros, ya que quien controla si se da acceso o no, es el sistema server y no el cliente ni mucho menos.

    Así que antes de decir tonterías documentate algo, o por lo menos no te limites a decir que es un “bug”

    Ningún sistema puede acceder a otros dispositivos en la red que estén cifrados sin no hay un entendimiento con el server y se le dan las correctas claves de paso.

    Ah! y se a eso lo llamas hackear…. pos allá tú.

    Responder
    • Oh my God…Se nota que no eres un lector de este blog verdad? Cuando Gabriel hace estos post, siempre espera a algún fan boy linuxero o Mackero que venga a trollear sin haber leído detalladamente. Siempre pasa.

      Le explico estimado lector sin experiencia en ElPlog: El post está redactado de manera irónica, criticando la actitud de Apple de no reparar el “error” del cual cualquier usuario de Lion podría hacer uso de los recursos de una PC con Linux o Windows.

      Yo soy mujer, soy rubia…y lo entendí. Me extraña que usted que tiene tantos conocimientos no lo haya interpretado. “Pos”, allá usted.

      Saludos a España.

      P.D: Los argentinos tenemos otro modo de decir las cosas, es muy posible que no se entienda en otros países de habla castellana.

      Responder
      • Hola Ana María.
        A ver, lo que se menciona en la entrada es todo lo contrario a lo que dice.
        Ese bug perjudica a todos los sistemas que tengan LION instalado, pues usan la versión OpenLDAP que es de código abierto pero al parecer, hay que hacerle unos retoques para usarlo en LION, cosa que apple al parecer no ha hecho con consecuencias de infarto.

        Así que a cerrar puertos hasta que solucionen esa maravilla de la que hablas.

        Yo no le encuentro la ironía en ninguna parte.

        Como ves, si estoy documentado y no soy ningún listillo.

        “Le explico estimado lector sin experiencia en ElPlog: El post está redactado de manera irónica, criticando la actitud de Apple de no reparar el “error” del cual cualquier usuario de Lion podría hacer uso de los recursos de una PC con Linux o Windows.”

        Creo que está usted equivocada, por lo que tengo entendido ese error permite el acceso a equipos que tengan ese paquete de LDAP open source sin modificar y corregir ese fallo.
        Por tanto solo son accesibles los sistemas con el error, y no otros que usen el mismo protocolo corregido.

        No soy ningún listillo, pero tampoco me chupo el dedo, y sí, puede que la forma en la que nos expresamos en otros países nos lleve a confusiones, pero creo haber entendido bien la entrada, en la cual creo que se alardea de una ventaja en el sistema Lion cuando en realidad es un problema potencialmente peligroso si no se corrige.

        “Yo soy mujer, soy rubia…y lo entendí. Me extraña que usted que tiene tantos conocimientos…”

        ¿Quien ha dicho que yo sea un erudito en nada?
        Y por otro lado, insultas a la gente con el tópico de las “mujeres rubias” al alimentar el prejuicio con el comentario.

        Un saludo

        PD: El “pos” estaba escrito a posta, lastima que no lo “interpretaras”

        Responder
        • Todo bien mostro…Pero no entendiste el post…Es una noticia, con algo de chiste y mi toque personal. Punto.

          Por cierto, soy usuario de Slackware, Windows y MacOSX. La verdad, no soy fan de ninguno y siempre me río de los errores de cada uno. Simple, no me pongo la camiseta de ninguno porque con los tres trabajo y me rinden.

          Repecto al bug que publicaste sobre Lion…Qué tiene que ver?

          Te tomaste el post muy a pecho. Es solo un post…

          Bye.

          Responder
          • Bueno, si es tu forma de escribir… ok.

            Yo tampoco me pongo la camiseta de ninguno.
            Critico sin prejuicios, igual que digo cosas buenas de un OS digo lo mismo de otros.. es más, creo que tengo la imagen del Lion en una carpeta por aquí… :S
            Intentaré probarla en virtualbox si es que se puede…

            El bug es sobre eso mismo que pusiste en el post, es uno de los problemas por los que se pueden iniciar sesiones sin contraseña por red… Según Apple

            Siento si al principio fuí brusco y pido perdon.

            Pero tienes un humor extraño de comprender, a no ser, que te conozcan claro, pero el que no te conoce, lee eso que yo he leído y piensa como yo.

            Te lo digo porque antes de escribir se lo he enseñado a más de uno y me han dado la misma opinión.

            Un saludo.

          • Claro que te entiendo. A diario recibo puteadas y críticas en el sitio porque la gente nueva que entra a la web no entiende lo que quise decir. Pero también es gente que debe recordar que este es mi espacio. Donde escribo para mí y para mis amigos (que me entienden), si los demás no entienden, no es mi problema y si desean comentar, adelante. Justamente es uno de los grandes ingresos de comments en el sitio y a veces lo hago a propósito para aumentarlos. Escribir a mi modo para que malinterpreten y generen debate :D

Leave a Comment.