NGINX, LDAP 구현에 영향을 미치는 제로데이 취약점 완화법 공유

NGINX Shares Mitigations for Zero-Day Bug Affecting LDAP Implementation

 

NGINX 웹 서버 프로젝트의 관리자가 LDAP(Lightweight Directory Access Protocol) 참조 구현에 존재하는 보안 취약점을 해결하기 위한 완화 조치를 발표했습니다.

 

F5 Networks의 Liam Crilly와 Timo Stark는 지난 월요일 권고를 발표해 아래와 같이 밝혔습니다.

 

"NGINX 오픈소스와 NGINX Plus 자체는 이에 영향을 받지 않으며, 참조 구현을 사용하지 않을 경우 조치가 필요하지 않습니다."

 

NGINX는 사용자 인증에 LDAP를 사용하는 참조 구현은 아래 세 가지 조건에서만 영향을 받는다고 밝혔습니다.

 

Python 기반 참조 구현 데몬을 구성하는 명령줄 파라미터

미사용, 선택적 구성 파라미터

LDAP 인증을 수행하기 위한 특정 그룹 멤버쉽

 

위 조건 중 하나라도 충족될 경우, 공격자는 특수하게 조작된 HTTP 요청 헤더를 전송하여 구성 파라미터를 무시하고 그룹 멤버쉽 자격 요구 사항을 우회해 잘못 인증된 사용자가 그룹에 속하지 않을 경우에도 LDAP 인증을 성공시킬 수 있는 것으로 나타났습니다.

 

프로젝트 관리자는 이에 대한 대책으로 사용자에게 인증 중 표시되는 로그인 양식의 사용자 이름 필드에서 특수 문자를 제거하고, 적절한 구성 매개변수를 빈 값("")으로 업데이트할 것을 권장했습니다.

 

또한 유지 관리자는 LDAP 참조 구현이 "통합 작동 방식과 통합을 인증하는데 데 필요한 모든 컴포넌트에 대한 메커니즘을 설명"하고, "생산 수준의 LDAP 솔루션은 아니다"라 강조했습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/04/nginx-shares-mitigations-for-zero-day.html

https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/