NGINX deelt oplossingen voor zero-day bug die de LDAP-implementatie beïnvloedt

NGINX partage des mesures d'atténuation pour un bogue Zero-Day affectant l'implémentation de LDAP Nachrichten

De beheerders van het NGINX-webserverproject hebben maatregelen genomen om zwakke punten in de beveiliging aan te pakken in het Lightweight Directory Access Protocol (LDAP) Referentie-implementatie.

„NGINX Open Source en NGINX Plus worden zelf niet beïnvloed en er zijn geen corrigerende maatregelen nodig als u de referentie-implementatie niet gebruikt“, Liam Crilly en Timo Stark van F5 Networks zei in een advies dat maandag is gepubliceerd.

NGINX zei dat de referentie-implementatiedie gebruikt LDAP om gebruikers te verifiërenwordt alleen beïnvloed onder drie voorwaarden als de implementaties betrekking hebben op:

  • Opdrachtregelparameters om de op Python gebaseerde referentie-implementatiedaemon te configureren
  • Ongebruikte, optionele configuratieparameters, en
  • Specifiek groepslidmaatschap om LDAP-authenticatie uit te voeren

Als aan een van de bovengenoemde voorwaarden wordt voldaan, kan een aanvaller de configuratieparameters mogelijk negeren door speciaal vervaardigde HTTP-verzoekheaders te verzenden en zelfs de vereisten voor groepslidmaatschap te omzeilen om de LDAP-authenticatie te laten slagen, zelfs als de foutief geverifieerde gebruiker niet tot de groep behoort.

Als tegenmaatregelen hebben de projectbeheerders gebruikers aanbevolen ervoor te zorgen dat speciale tekens worden verwijderd uit het gebruikersnaamveld in het aanmeldingsformulier dat tijdens de authenticatie wordt gepresenteerd en de juiste configuratieparameters bij te werken met een lege waarde („“).

De beheerders benadrukten ook dat de LDAP-referentie-implementatie voornamelijk „de mechanica beschrijft van hoe de integratie werkt en alle componenten die nodig zijn om de integratie te verifiëren“ en dat „het geen LDAP-oplossing van productiekwaliteit is.“

De onthulling komt erna details van het probleem kwam dit weekend in het publieke domein naar voren toen een hacktivistische groep genaamd BlueHornet zei het had „een experimentele exploit voor NGINX 1.18 in handen gekregen.“

David
Rate author
Hackarizona