????2022hvv情況一覽（7.30當(dāng)日情報(bào)）

NGINX Open Source 和 NGINX Plus自身不受本次漏洞影響，如未采用（https://github.com/nginxinc/nginx-ldap-auth）參考實(shí)現(xiàn)部署，則無(wú)需進(jìn)行任何修復(fù)措施。
NGINX LDAP 參考實(shí)現(xiàn)使用輕量級(jí)目錄訪問(wèn)協(xié)議 (LDAP) 來(lái)驗(yàn)證由 NGINX 代理的應(yīng)用程序的用戶。它在https://github.com/nginxinc/nginx-ldap-auth作為 Python 守護(hù)進(jìn)程和相關(guān)的 NGINX 配置發(fā)布。

如果滿足以下任何條件，則 LDAP 參考實(shí)現(xiàn)的部署會(huì)受到漏洞的影響。

1. 1、命令行參數(shù)用于配置 Python 守護(hù)進(jìn)程

2. 2、有未使用的可選配置參數(shù)

3. 3、LDAP 身份驗(yàn)證取決于特定的組成員身份

注意： LDAP 參考實(shí)現(xiàn)是作為參考實(shí)現(xiàn)發(fā)布的，它描述了集成如何工作的機(jī)制以及驗(yàn)證集成所需的所有組件。它不是生產(chǎn)級(jí) LDAP 解決方案。例如，用于示例登錄頁(yè)面的用戶名和密碼沒(méi)有加密，安全通知對(duì)此進(jìn)行了說(shuō)明。

以下為臨時(shí)緩解方式：

緩解條件1：命令行參數(shù)用于配置 Python 守護(hù)程序

配置 LDAP 參考實(shí)現(xiàn)的主要方法是使用示例配置和文檔proxy_set_header中詳述的許多指令。但是，配置參數(shù)也可以在初始化 Python 守護(hù)進(jìn)程(nginx-ldap-auth-daemon.py ) 的命令行上設(shè)置。

在命令行上指定配置參數(shù)時(shí)，攻擊者可以通過(guò)傳遞特制的 HTTP 請(qǐng)求標(biāo)頭來(lái)覆蓋其中的部分或全部。為了防止這種情況，請(qǐng)確保在身份驗(yàn)證期間忽略任何無(wú)關(guān)的請(qǐng)求標(biāo)頭，方法是將以下配置添加到location= /auth-proxyNGINX 配置中的塊（回購(gòu)中的nginx-ldap-auth.conf）。

location = /auth-proxy {    # ...    proxy_pass_request_headers off;    proxy_set_header Authorization $http_authorization; # If using Basic auth    # ...}

緩解條件2：未使用的可選配置參數(shù)

與條件 1 一樣，攻擊者可以傳遞特制的 HTTP 請(qǐng)求標(biāo)頭來(lái)覆蓋某些配置參數(shù)（如果它們未在配置中設(shè)置）。例如，如果未在配置中明確設(shè)置，則可能會(huì)覆蓋 LDAP 搜索模板。通過(guò)將以下配置添加到location= /auth-proxyNGINX配置中的塊中，以與條件 1 相同的方式進(jìn)行防御。

location = /auth-proxy {    # ...    proxy_pass_request_headers off;    proxy_set_header Authorization $http_authorization; # If using Basic auth    # ...}

緩解條件3：需要 LDAP 組成員身份

Python守護(hù)進(jìn)程不會(huì)清理其輸入。因此，攻擊者可以使用特制的請(qǐng)求標(biāo)頭繞過(guò)組成員資格 ( memberOf) 檢查，從而強(qiáng)制 LDAP 身份驗(yàn)證成功，即使正在驗(yàn)證的用戶不屬于所需的組。

為了緩解這種情況，請(qǐng)確保顯示登錄表單的后端守護(hù)程序從用戶名字段中刪除任何特殊字符。特別是，它必須刪除左括號(hào)和右括號(hào)字符 –( )以及等號(hào) ( =)，它們對(duì)于 LDAP 服務(wù)器都有特殊含義。LDAP 參考實(shí)現(xiàn)中的后端守護(hù)程序?qū)⒃谶m當(dāng)?shù)臅r(shí)候以這種方式進(jìn)行更新。