Les responsables du projet de serveur Web NGINX ont publié des mesures d’atténuation pour remédier aux faiblesses de sécurité dans son implémentation de référence LDAP (Lightweight Directory Access Protocol). « NGINX Open Source et NGINX Plus ne sont pas eux-mêmes concernés, et aucune action corrective n’est nécessaire si vous n’utilisez pas l’implémentation de référence », ont déclaré Liam Crilly et Timo Stark de F5 Networks dans un avis publié lundi. NGINX a déclaré que l’implémentation de référence, qui utilise LDAP pour authentifier les utilisateurs, n’est impactée que sous trois conditions si les déploiements impliquent – Paramètres de ligne de commande pour configurer le démon d’implémentation de référence basé sur Python Paramètres de configuration facultatifs inutilisés et Appartenance à un groupe spécifique pour effectuer l’authentification LDAP
Si l’une des conditions susmentionnées est remplie, un attaquant pourrait potentiellement remplacer les paramètres de configuration en envoyant des en-têtes de requête HTTP spécialement conçus et même contourner les exigences d’appartenance au groupe pour forcer l’authentification LDAP à réussir même lorsque l’utilisateur faussement authentifié n’appartient pas au groupe.
Comme contre-mesures, les responsables du projet ont recommandé aux utilisateurs de s’assurer que les caractères spéciaux sont supprimés du champ du nom d’utilisateur dans le formulaire de connexion présenté lors de l’authentification et de mettre à jour les paramètres de configuration appropriés avec une valeur vide (« »).
Les mainteneurs ont également souligné que l’implémentation de référence LDAP « décrit principalement les mécanismes de fonctionnement de l’intégration et tous les composants nécessaires pour vérifier l’intégration » et qu’« il ne s’agit pas d’une solution LDAP de niveau production ».
La divulgation intervient après que les détails du problème sont apparus dans le domaine public au cours du week-end lorsqu’un groupe hacktiviste appelé BlueHornet a déclaré qu’il avait « mis la main sur un exploit expérimental pour NGINX 1.18 ».