NGINX compartilha informações sobre o Zero-Day que afeta a implementação do LDAP

2 years ago
32

"#aiedonline em youtube.com/c/aiedonline"
NGINX compartilha informações sobre o Zero-Day que afeta a implementação do LDAP
Livro Linux: https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
Livro Hacker: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing

SLIDE: https://docs.google.com/presentation/d/1OtlwOkmCL1t5GCZEa3knnsKAtmLchat8evP7AB9fOqE/edit?usp=sharing

Seja membro: https://youtu.be/fEdz5zX2-4M

Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com

TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h

Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com

O NGINX é um servidor proxy reverso e HTTP de código aberto, um servidor proxy de email e um servidor proxy TCP/UDP genérico lançado sob a licença tipo BSD. De acordo com a Netcraft, o NGINX é um servidor que é responsável por 25,28% dos sites mais usados em outubro de 2018.

Casos de sucesso com NGNIX:
Dropbox;
Netflix;
WordPress.com;
FastMail.FM.

Um problema NGINX Zero-Day RCE foi identificado na implementação do NGINX LDAP-auth daemon, que vazou brevemente.

NGINX Open Source e NGINX Plus não são afetados, e nenhuma ação corretiva é necessária se você não usar a implementação de referência, disseram Liam Crilly e Timo Stark da F5 Networks em um comunicado publicado na segunda-feira.

A falha RCE Zero-Day do nginx afeta o NGINX 18.1. De acordo com o repositório do Github AgainstTheWest, esse bug está relacionado ao daemon LDAP-auth no nginx.

O problema com isso é que ele só funciona com instância nginx usando LDAP, como qualquer portal de login que forneça esse método de autenticação.

Como algumas análises adicionais estão em andamento, o módulo relacionado ao daemon LDAP-auth dentro do NGINX é bastante afetado. Qualquer coisa que envolva logins opcionais LDAP também funciona.

É altamente recomendável desativar a propriedade ldapDaemon.enabled. Se você planeja configurá-lo, certifique-se de alterar a propriedade ldapDaemon.ldapConfig com as informações corretas e não o deixe no padrão.

Algumas fontes estão dizendo que é um problema com o próprio LDAP e não com o NGINX, embora ldapDaemon nem sempre seja usado. A citação exata é “o pipeline CI/CD fortalece a instância, uma das etapas é remover completamente o módulo LDAP”. Isso está parcialmente correto. Na verdade, é uma opção ao compilar o NGINX.

Loading comments...