Các nhà bảo trì của dự án máy chủ web NGINX đã ban hành các biện pháp giảm nhẹ để giải quyết các điểm yếu về bảo mật trong Triển khai Tham chiếu Giao thức Truy cập Thư mục Nhẹ (LDAP) của nó.
“Bản thân NGINX Open Source và NGINX Plus không bị ảnh hưởng và không cần thực hiện hành động sửa chữa nào nếu bạn không sử dụng triển khai tham chiếu,” Liam Crilly và Timo Stark của f5 Networks cho biết trong một lời khuyên được công bố hôm thứ Hai.
NGINX nói rằng việc triển khai tham chiếu, sử dụng LDAP để xác thực người dùng, chỉ bị ảnh hưởng trong ba điều kiện nếu việc triển khai liên quan đến –
Tham số dòng lệnh để định cấu hình daemon triển khai tham chiếu dựa trên Python Không được sử dụng, tham số cấu hình tùy chọn và thành viên nhóm cụ thể để thực hiện xác thực LDAP
Nếu bất kỳ điều kiện nào nói trên được đáp ứng, kẻ tấn công có khả năng ghi đè các tham số cấu hình bằng cách gửi tiêu đề yêu cầu HTTP được chế tạo đặc biệt và thậm chí bỏ qua các yêu cầu thành viên nhóm để buộc xác thực LDAP thành công ngay cả khi người dùng được xác thực giả không thuộc nhóm.
Như các biện pháp đối phó, những người duy trì dự án đã khuyến nghị người dùng đảm bảo rằng các ký tự đặc biệt được loại bỏ khỏi trường tên người dùng trong biểu mẫu đăng nhập được trình bày trong quá trình xác thực và cập nhật các thông số cấu hình thích hợp với giá trị trống (“”).
Các nhà bảo trì cũng nhấn mạnh rằng việc triển khai tham chiếu LDAP chủ yếu “mô tả cơ chế hoạt động của tích hợp và tất cả các thành phần cần thiết để xác minh sự tích hợp” và “nó không phải là giải pháp LDAP cấp sản xuất.”
Tiết lộ được đưa ra sau khi chi tiết về vấn đề này xuất hiện trong phạm vi công cộng vào cuối tuần qua khi một nhóm hacktivist có tên là BlueHornet cho biết họ đã “có được bản khai thác thử nghiệm cho NGINX 1.18”.
.
