NGINX分享了影响LDAP实现的零日漏洞的缓解措施

NGINX web服务器项目的维护人员已经发布了缓解措施，以解决其轻量级目录访问协议（LDAP）参考实现中的安全弱点。

F5 Networks的利亚姆·克里利（Liam Crilly）和蒂莫·斯塔克（Timo Stark）在周一发布的一份咨询报告中表示：“NGINX开源和NGINX Plus本身不受影响，如果不使用参考实现，则无需采取纠正措施”。

NGINX表示，使用LDAP对用户进行身份验证的参考实现只有在三种情况下才会受到影响，如果部署涉及-

• 用于配置基于Python的引用实现守护程序的命令行参数
• 未使用的可选配置参数，以及
• 执行LDAP身份验证的特定组成员身份

如果满足上述任何条件，攻击者可能会通过发送精心编制的HTTP请求头来覆盖配置参数，甚至绕过组成员资格要求，以强制LDAP身份验证成功，即使错误验证的用户不属于该组。

作为应对措施，项目维护人员建议用户确保从身份验证期间显示的登录表单的用户名字段中删除特殊字符，并使用空值（“”）更新相应的配置参数。

维护人员还强调，LDAP参考实现主要“描述了集成工作的机制以及验证集成所需的所有组件”，并且“它不是生产级的LDAP解决方案”。

上周末，一个名为“青蜂侠”的黑客组织表示，他们已经“获得了NGINX 1.18的实验性漏洞”，该问题的细节在公共领域出现，随后披露了这一信息。