NGINX chia sẻ các biện pháp giảm thiểu lỗi 0-day ảnh hưởng đến việc triển khai LDAP

Các nhà bảo trì của dự án máy chủ web NGINX đã ban hành các biện pháp giảm nhẹ lỗ hổng để giải quyết các điểm yếu về bảo mật trong Lightweight Directory Access Protocol (LDAP) của nó.
Bản thân NGINX Open Source và NGINX Plus không bị ảnh hưởng và không cần thực hiện hành động sửa chữa nào nếu bạn không sử dụng triển khai tham chiếu LDAP.
NGINX nói rằng việc triển khai tham chiếu, sử dụng LDAP để xác thực người dùng, chỉ bị ảnh hưởng trong ba điều kiện nếu việc triển khai liên quan đến:

Các tham số dòng lệnh (command-line param) để cấu hình daemon triển khai tham chiếu dựa trên Python.
Không dùng các thông số cấu hình tùy chọn.
Chỉ định thành viên nhóm cụ thể để thực hiện xác thực LDAP.

Nếu bất kỳ điều kiện nào nói trên được đáp ứng, kẻ tấn công có khả năng ghi đè các tham số cấu hình bằng cách gửi tiêu đề yêu cầu HTTP được chế tạo đặc biệt và thậm chí bỏ qua các yêu cầu xác định thành viên nhóm để buộc xác thực LDAP thành công ngay cả khi người dùng không thuộc nhóm được xác thực.
Những người bảo trì dự án đã khuyến nghị người dùng đảm bảo rằng trường tên người dùng không có kí tự đặc biệt trong biểu mẫu đăng nhập và cập nhật các thông số cấu hình thích hợp với giá trị trống ("").

Chi tiết xem thêm tại : Link

Các tin khác