Les mainteneurs du projet de serveur Web NGINX ont publié des mesures d’atténuation pour remédier aux faiblesses de sécurité de son protocole d’accès à l’annuaire léger (LDAP) Implémentation de référence.
« NGINX Open Source et NGINX Plus ne sont pas eux-mêmes concernés, et aucune action corrective n’est nécessaire si vous n’utilisez pas l’implémentation de référence », Liam Crilly et Timo Stark de F5 Networks mentionné dans un avis publié lundi.
NGINX a déclaré que le implémentation de référencequi utilise LDAP pour authentifier les utilisateursn’est impacté que sous trois conditions si les déploiements impliquent –
- Paramètres de ligne de commande pour configurer le démon d’implémentation de référence basé sur Python
- Paramètres de configuration facultatifs inutilisés et
- Appartenance à un groupe spécifique pour effectuer l’authentification LDAP
Si l’une des conditions susmentionnées est remplie, un attaquant pourrait potentiellement remplacer les paramètres de configuration en envoyant des en-têtes de requête HTTP spécialement conçus et même contourner les exigences d’appartenance au groupe pour forcer l’authentification LDAP à réussir même lorsque l’utilisateur faussement authentifié n’appartient pas au groupe.
Comme contre-mesures, les responsables du projet ont recommandé aux utilisateurs de s’assurer que les caractères spéciaux sont supprimés du champ du nom d’utilisateur dans le formulaire de connexion présenté lors de l’authentification et de mettre à jour les paramètres de configuration appropriés avec une valeur vide (« »).
Les mainteneurs ont également souligné que l’implémentation de référence LDAP « décrit principalement les mécanismes de fonctionnement de l’intégration et tous les composants nécessaires pour vérifier l’intégration » et qu’« il ne s’agit pas d’une solution LDAP de niveau production ».
La révélation vient après des détails du problème est apparu dans le domaine public au cours du week-end lorsqu’un groupe hacktiviste appelé BlueHornet mentionné il avait « mis la main sur un exploit expérimental pour NGINX 1.18 ».