Bundesamt für Sicherheit in der Informationstechnik

M 4.390 Sichere Aktualisierung von OpenLDAP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Open CMR wird ständig von den Entwicklern von OpenLDAP weiterentwickelt. Es ist deshalb sinnvoll, im Fall von Schwachstellen der Software sogar notwendig, die bestehende OpenLDAP-Installation durch eine neuere Version zu ersetzen.

Überwachung neuer Versionen

Die OpenLDAP-Entwickler informieren über die Mailingliste openldap-announce (http://www.openldap.org/lists/openldap-announce) über alle neuen Releases und Änderungen des Stable Release (Release Notes). Diese Mailingliste sollte von Administratoren abonniert und die Nachrichten sorgfältig gelesen. Sofern nicht über Sicherheitslücken berichtet wird oder ein neues Release eine für den Anwender wertvolle Funktion einführt, besteht kein Bedarf, neu veröffentlichte Releases zeitnah zu installieren. Wird eine neuere als die eingesetzte Version zum Stable Release erklärt, wird empfohlen, eine Aktualisierung von OpenLDAP für das nächste Wartungsfenster zu planen. Bei sicherheitsrelevanten Änderungen, wie behobenen Schwachstellen, muss OpenLDAP so schnell wie möglich aktualisiert werden.

Soll die bestehende OpenLDAP-Installation aktualisiert werden, sind alle relevanten Release Notes zu prüfen, um Änderungen zur bestehenden OpenLDAP-Installation zu identifizieren. Hierbei sind neben der unmittelbar zur geplanten Version gehörenden Nachricht alle Release Notes von Versionen relevant, die zwischen der eingesetzten und der geplanten Version veröffentlicht wurden. Insbesondere ist darauf zu achten, ob Änderungen eingesetzte Backends oder Overlays sowie Softwareabhängigkeiten betreffen. Ist dies der Fall, so ist die Planung von OpenLDAP zu aktualisieren (siehe M 2.484 Planung von OpenLDAP ).

Durchführung der Aktualisierung

Im Rahmen der Vorbereitung sind die Installationspakete für die geplante OpenLDAP-Version herunterzuladen und zu überprüfen (siehe M 4.382 Auswahl und Prüfung der OpenLDAP-Installationspakete ). Werden Binärpakete eines Distributors verwendet, stellt er gegebenenfalls auch spezielle Aktualisierungspakete bereit. Vor der Aktualisierung ist der slapd-Server anzuhalten und es ist eine aktuelle Datensicherung des bestehenden Verzeichnisses durchzuführen (siehe M 6.150 Datensicherung beim Einsatz von OpenLDAP ). Anschließend ist die neue Version von OpenLDAP zu installieren (siehe M 4.383 Sichere Installation von OpenLDAP ). Die Installation kann in ein neues Zielverzeichnis erfolgen, um zur bisher verwendeten Version zurückkehren zu können. Die neu installierte Software ist zu konfigurieren, dies geschieht in der Regel durch die Übernahme der vorigen Konfiguration aus der Datensicherung. Anschließend müssen die Konfiguration mittels "slaptest" und die Zugriffsrechte mittels slapacl getestet werden, bevor der slapd-Server neu gestartet wird.

Folgende Punkte sind im Rahmen der Aktualisierung von OpenLDAP besonders zu beachten:

  • Oftmals setzen Administratoren eigene Skripte ein, um Aufgaben im Zusammenhang mit OpenLDAP zu automatisieren. Wird OpenLDAP aktualisiert, müssen derartige Skripte überprüft werden, ob sie mit der aktualisierten Version von OpenLDAP problemlos zusammenarbeiten.
  • Insbesondere, wenn verschiedene Versionen von OpenLDAP parallel auf einem IT-System installiert sind, ist es von großer Bedeutung, dass immer die slap*-Werkzeuge der jeweiligen Version eingesetzt werden. Tests von Konfiguration und Zugriffsrechten müssen mit den "neuen" Versionen von slaptest und slapacl durchgeführt werden und die Datensicherung muss mit dem "neuen" slapadd eingespielt werden.

Prüffragen:

  • Werden sicherheitsrelevante Aktualisierungen von OpenLDAP schnellstmöglich installiert?

  • Werden bei OpenLDAP veränderte Anforderungen an eingesetzte Backends oder Overlays sowie Softwareabhängigkeiten bei der Aktualisierung geprüft und beachtet?

  • Werden gegebenenfalls eingesetzte eigene Skripte überprüft, ob sie mit der aktualisierten Version von OpenLDAP zusammenarbeiten?

  • Werden bei OpenLDAP die Konfiguration und die Zugriffsrechte nach einer Aktualisierung mit den korrekten, das heißt den "neuen" Werkzeugen, sorgfältig geprüft?

Stand: 13. EL Stand 2013