NGINX 发布影响LDAP 实现的0day 缓解措施
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
F5 Networks 公司的研究员 Liam Crilly 和 Timo Stark 在本周一发布的安全公告中表示,“NGINX Open Source 和 NGINX Plus 本身不受影响,如果你并未使用引用实现则无需采取任何措施。”
NGINX 表示该引用实现使用LDAP对用户进行认证,只有在部署涉及以下三种条件下才受影响:
涉及命令行参数配置基于Python 的引用实现守护进程
涉及未使用的可选配置参数,以及
特定群组成员执行LDAP认证
如满足以上任意三个条件之一,攻击者可通过发送特殊构造的HTTP请求标头的方式覆写配置参数,甚至绕过群组成员要求,即使在认证错误的用户不属于该群组时仍然强制LDAP认证成功。
作为应对措施,项目维护人员推荐用户确保删除认证过程中登录表单中用户名字段的特殊字符,并用空值更新正确的配置参数。
维护人员还强调称,LDAP引用实现主要“描述了集成的运作机制以及验证该集成所需的所有组件”,“它并非生产级别的LDAP解决方案”。
上周末,名为 BlueHornet 的黑客主义组织公开发布相关详情,并表示“已经获得NGINX 1.18的实验性 exploit”。于是,NGINX 发布相关缓解措施。
#软件供应链安全系列(7)--- 名人名书 #《软件供应链安全—源代码缺陷实例剖析》#2021北京网络安全大会(BCS)
#2021北京网络安全大会(BCS) #软件供应链安全系列(1)--软件供应链安全实践—奇安信集团代码安全事业部黄永刚 #通信行业网络安全论坛
#软件供应链安全 北京电视台报道《2021中国软件供应链安全分析报告》发布
https://thehackernews.com/2022/04/nginx-shares-mitigations-for-zero-day.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~