Στις 9 Απριλίου 2022, κοινοποιήθηκαν δημόσια ορισμένα κενά ασφαλείας στην υλοποίηση αναφοράς του NGINX LDAP (NGINX LDAP reference implementation).
Θα πρέπει να αναφέρουμε ότι επηρεάζεται μόνο η διεργασία reference implementation. Το NGINX Open Source και το NGINX Plus δεν επηρεάζονται από μόνα τους και δεν απαιτείται κάποια διορθωτική ενέργεια εάν δεν χρησιμοποιείτε την λειτουργία υλοποίησης αναφοράς (reference implementation).
Το NGINX LDAP reference implementation χρησιμοποιεί το Lightweight Directory Access Protocol (LDAP) για τον έλεγχο ταυτότητας των εφαρμογών που διαμεσολαβούν από το NGINX.
Το exploit δημοσιεύτηκε σαν Python daemon και περιέχει τις σχετικές ρυθμίσεις του NGINX στη διεύθυνση https://github.com/nginxinc/nginx-ldap-auth. Ο σκοπός και οι ρυθμίσεις του script περιγράφονται λεπτομερώς στο ιστολόγιo του NGINX.
Το ίδιο ιστολόγιο αναφέρει διάφορα LDAP reference implementation που επηρεάζονται από τα κενά ασφαλείας. Ρίξτε μια ματιά για το αν ισχύει οποιαδήποτε από τις συνθήκες που αναφέρονται. Εκτός από τις αναφορές στις συνθήκες θα βρείτε και τον τρόπο μετριασμού τους.
Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ….
