Все
Истории
Дизайн
Код
Геймдев
Бизнес
Маркетинг
Управление
Кино
Музыка
Проектная фотография
Развитие
Здоровье
Деньги
Образование
EdTech
Корп. обучение
Блог Skillbox
Глоссарий
Спецпроекты
Профориентация
Nginx обнаружила уязвимость нулевого дня в одном из интернет-протоколов
Баг позволяет обходить настройки безопасности в протоколе LDAP, который отвечает за аутентификацию пользователей.
Что случилось? Специалисты из Nginx выпустили рекомендации для смягчения последствий от бага нулевого дня, который обнаружил независимый разработчик. Баг позволяет злоумышленникам получать доступ к внутренним директориям на сервере и изменять их.
Уязвимость нашли в протоколе LDAP — Lightweight Directory Access Protocol, — который проводит операции аутентификации, поиска и сравнения, а также операции добавления, изменения или удаления записей из базы данных.
Как это работает? Специалисты из Nginx утверждают, что баг можно эксплуатировать, если при развёртывании сервера:
- используются параметры командной строки для настройки Python-программ;
- есть незаполненные опциональные параметры для конфигураций;
- действует специальная групповая подписка для LDAP-аутентификации.
Если выполняется хотя бы одно из трёх условий, то хакер может отправить специальный HTTP-запрос и переписать конфигурационные параметры сервера.
Как защититься? Лиам Крилли и Тим Старк из F5 Networks сказали, что пользователи Nginx Open Source и Nginx Plus находятся в безопасности и им ничего не нужно делать.
Для остальных специалисты из Nginx посоветовали убедиться, что специальные символы для поля username обрезаны в форме аутентификации, а также задать пустые значения ("") для неиспользуемых параметров.
