NGINX Berbagi Mitigasi untuk Bug Zero-Day yang Mempengaruhi Implementasi LDAP

NGINX Berbagi Mitigasi untuk Bug Zero-Day yang Mempengaruhi Implementasi LDAP

Pengelola proyek server internet NGINX telah mengeluarkan mitigasi untuk mengatasi kelemahan keamanan dalam Protokol Akses Direktori Ringan (LDAP) Implementasi Referensi.

“NGINX Open Supply dan NGINX Plus tidak terpengaruh, dan tidak ada tindakan korektif yang diperlukan jika Anda tidak menggunakan implementasi referensi,” Liam Crilly dan Timo Stark dari F5 Networks dikatakan dalam sebuah nasihat yang diterbitkan Senin.

Keamanan cyber

NGINX mengatakan bahwa implementasi referensiyang menggunakan LDAP untuk mengautentikasi penggunahanya terpengaruh dalam tiga kondisi jika penerapan melibatkan –

  • Parameter baris perintah untuk mengonfigurasi daemon implementasi referensi berbasis Python
  • Parameter konfigurasi opsional yang tidak digunakan, dan
  • Keanggotaan grup khusus untuk melakukan otentikasi LDAP

Jika salah satu dari kondisi yang disebutkan di atas terpenuhi, penyerang berpotensi menimpa parameter konfigurasi dengan mengirimkan header permintaan HTTP yang dibuat khusus dan bahkan melewati persyaratan keanggotaan grup untuk memaksa otentikasi LDAP agar berhasil bahkan ketika pengguna yang diautentikasi secara salah bukan milik grup.

Sebagai tindakan balasan, pengelola proyek telah merekomendasikan pengguna untuk memastikan bahwa karakter khusus dihilangkan dari bidang nama pengguna dalam formulir login yang disajikan selama otentikasi dan memperbarui parameter konfigurasi yang sesuai dengan nilai kosong (“”).

Keamanan cyber

Pengelola juga menekankan bahwa implementasi referensi LDAP terutama “menjelaskan mekanisme cara kerja integrasi dan semua komponen yang diperlukan untuk memverifikasi integrasi” dan bahwa “ini bukan solusi LDAP tingkat produksi.”

Pengungkapan datang setelah element masalah ini muncul di area publik selama akhir pekan ketika kelompok peretas bernama BlueHornet dikatakan itu “mendapatkan eksploitasi eksperimental untuk NGINX 1.18.”



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts