聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
F5 Networks 公司的研究員 Liam Crilly 和 Timo Stark 在本周一發布的安全公告中表示,「NGINX Open Source 和 NGINX Plus 本身不受影響,如果你並未使用引用實現則無需採取任何措施。」
NGINX 表示該引用實現使用LDAP對用戶進行認證,只有在部署涉及以下三種條件下才受影響:
涉及命令行參數配置基於Python 的引用實現守護進程
涉及未使用的可選配置參數,以及
特定群組成員執行LDAP認證
如滿足以上任意三個條件之一,攻擊者可通過發送特殊構造的HTTP請求標頭的方式覆寫配置參數,甚至繞過群組成員要求,即使在認證錯誤的用戶不屬於該群組時仍然強制LDAP認證成功。
作為應對措施,項目維護人員推薦用戶確保刪除認證過程中登錄表單中用戶名字段的特殊字符,並用空值更新正確的配置參數。
維護人員還強調稱,LDAP引用實現主要「描述了集成的運作機制以及驗證該集成所需的所有組件」,「它並非生產級別的LDAP解決方案」。
上周末,名為 BlueHornet 的黑客主義組織公開發布相關詳情,並表示「已經獲得NGINX 1.18的實驗性 exploit」。於是,NGINX 發布相關緩解措施。
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞獎勵加倍
Linux 應用市場易受RCE和供應鏈攻擊,多個0day未修復
立即更新!谷歌被曝已遭利用的Chrome 0day,波及 Windows、Mac 和 Linux 系統
Linux 被曝存在6年的嚴重 Realtek WiFi 0day,可使系統遭完全攻陷:或值2.5萬美元
Linux KDE 4和5版本被曝 0day,僅打開文件夾就能執行命令
https://thehackernews.com/2022/04/nginx-shares-mitigations-for-zero-day.html
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表