Nginx, Ldap uygulamasındaki güvenlik zafiyetini gidermek için mitigate yöntemleri yayınladı. F5 Networks’ten Liam Crilly ve Timo Stark pazartesi günü yayınlanan danışma belgesinde , “Nginx open source ve Nginx Plus’ın kendisi zafiyetten etkilenmiyor ve referans uygulamasını kullanmazsanız herhangi bir düzeltici eylem gerekli değildir.” dedi.
Nginx, kullanıcıların zafiyetten etkilenmelerinin ancak aşağıdaki üç koşulda mümkün olduğunu belirtti.
- Python tabanlı reference implementation daemon parametreleri kullanıldığında.
- Kullanılmayan, isteğe bağlı yapılandırma parametreleri.
- LDAP kimlik doğrulamasını gerçekleştirmek için belirli grup üyelikleri.
Yukarıda belirtilen koşullardan herhangi biri karşılanırsa, bir saldırgan özel hazırlanmış HTTP istek üstbilgileri göndererek yapılandırma parametrelerini geçersiz kılabilir. Karşı önlem olarak, kullanıcılara kimlik doğrulama sırasında sunulan oturum açma formundaki kullanıcı adı alanından özel karakterlerin çıkarılmasını ve uygun yapılandırma parametrelerini boş bir değerle (“”) güncellemeleri tavsiye edildi.
Kaynak: thehackernews.com