Vor über einem Monat berichtete Heise über eine große Patch-Orgie Ciscos. Weil das recht wichtig war, ist also auch auf den Systemen, die ich unter meinen Fittichen habe, dieses IOS aufgespielt worden. Danach begann eine mehrstündige Fehlersuche. Wir nutzen die VPN-Funktionalität mit LDAP-Authentifizierung. Und bei einigen accounts ging das nicht mehr — aber eben nur bei einigen.
Heraus kam, das der Authentifizierungsvorgang abbrach, als unser OpenLDAP den Datensatz an den Client, hier also an den Cisco VPN-Concentrator, zurück lieferte. Und zwar genau dann, wenn in diesem people-Datensatz ein Attribut, zum Beispiel jpegPhoto, mehrere KiloByte groß war …. und ist, denn Cisco hat es noch nicht geschafft, diesen vermutlichen BufferOverflow zu beseitigen.
Workarround: Attribute im LDAP nicht größer als 8kB, dann klappt’s auch mit dem Cisco-VPN. Aber traurig ist das schon. Es lief jahrelang reibungslos, und dann baut man so einen dummen Fehler in’s IOS. Ob man damit Systeme zum Absturz bringen kann, habe ich nicht getestet — ich will nur, dass sie funktionieren ;) Notfalls auch mit Workarround.

Dieser Text wurde am 14.07.2008 um 07:37 in der Kategorie 2.1.0 stuff-notes hinterlegt. Kommentare können mit dem RSS 2.0 Feed verfolgt werden. You can skip to the end and leave a response. Pinging is currently not allowed.