NGINX の LADP リファレンス実装のゼロデイバグ:詳細な緩和策が提供される

NGINX Shares Mitigations for Zero-Day Bug Affecting LDAP Implementation

2022/04/12 TheHackerNews — Web サーバー・プロジェクト NGINX のメンテナたちは、LDAP (Lightweight Directory Access Protocol) リファレンス実装における、セキュリティ上の弱点に対処するための緩和策を発表している。月曜日に発表されたアドバイザリで、F5 Networks の Liam Crilly と Timo Stark は、「NGINX Open Source と NGINX Plus は、それ自体は影響を受けていないため、リファレンス実装を使用しない場合であれば、修正措置は必要ない」と述べている。

NGINX のメンテナたちは、LDAP を用いてユーザーを認証するリファレンス実装において、以下を含むデプロイメントが行われている場合の、3つの条件下でのみ影響を受けると述べている。

  • コマンド・ライン・パラメータで Python ベースのリファレンス実装デーモンをコンフィグレーション
  • オプション・コンフィグレーションのパラメータが未使用
  • 特定のグループ・メンバーシップで LDAP 認証を実行


このような場合において、攻撃者は特別に細工した HTTP リクエストヘッダを送信することで、コンフィグレーション・パラメータを上書きし、さらにグループ・メンバーシップの要件を回避し、対象グループに属していない偽の認証ユーザーが、LDAP 認証に成功する可能性があるという。

そのための対策として、認証時に表示されるログイン・フォームのユーザー名フィールドから、特殊文字が取り除かれるようにすること、そして、適切な設定パラメータを空値 (“”) で更新することを、プロジェクト・メンテナーたちはユーザーに推奨している。

また、メンテナンス担当者は、「この LDAP リファレンス実装は主として、どのように統合が機能するかという仕組みと、統合を検証するために必要な全コンポーネントを説明するものだ。したがって、製品グレードの LDAP ソリューションではない」と強調している。

今回の公開は、週末に BlueHornet というハッカー集団が、「NGINX 1.18 の実験的なエクスプロイトを手に入れた」と発言し、この問題の詳細が公になったことを受けたものだ。

この、NGINX の LADP リファレンス実装の問題ですが、ゼロデイバグであり、ゼロデイ脆弱性ではないようです。GitHub の NginxDay Nginx 18.1 04/09/22 zero-day repo に詳細が記述されていますが、CVE は採番されていないようです。また、同じく GitHub の nginxinc/nginx-ldap-auth には、この LDAP 実装の詳細が記されています。

%d bloggers like this: