Luka w Mac OS X Lion pozwala na logowanie bez hasła

Specjaliści Heise Online poinformowali, że w systemie Mac OS X Lion występuje luka w obsłudze protokołu LDAP pozwalająca na logowanie bez znajomości hasła.

Opisany błąd w module uwierzytelniania LDAP umożliwia zalogowanie się przy wykorzystaniu dowolnego hasła - wystarczy znajomość poprawnej nazwy użytkownika. Luka ujawnia się zarówno podczas logowania za pośrednictwem interfejsu graficznego klienta jak i przy wykorzystaniu SSH. To jednak nie koniec problemów, niektórzy użytkownicy Mac OS X Lion w ogóle nie są w stanie zalogować się poprzez LDAP. Na szczęście problem nie jest bardzo poważny, gdyż LDAP nie jest domyślną metodą logowania dla Liona. Apple zostało już poinformowane o problemie i pracuje nad stosowną łatką. Nie jest jasne, czy luka zostanie załatana przy okazji nadchodzącej aktualizacji systemu do wersji 10.7.2. Póki co zaleca się wyłączenie tej metody logowania dla ważniejszych usług.

Mac OS X Lion został wydany ponad miesiąc temu, 20 lipca 2011 roku.