解决 NGINX LDAP 参考实施中的安全问题
原文作者:Liam Crilly of F5 和 Timo Stark of F5
转载来源:NGINX官方网站
2022 年 4 月 9 日,NGINX LDAP 参考实施中曝出了多个安全漏洞。经确认,只有参考实施受到了影响。NGINX 开源版和 NGINX Plus 本身未受影响,如果您不使用参考实施,则无需采取纠正措施。
NGINX LDAP 参考实施使用轻型目录访问协议 (LDAP) 来验证由 NGINX 代理的应用的用户。它作为 Python 守护进程(daemon)发布,相关 NGINX 配置位于http://github.com/nginxinc/nginx-ldap-auth,我们的博文对其目的和配置进行了详细描述。
如果出现以下任何一种情况,LDAP 参考实施的部署都会受到漏洞的影响。下文详细讨论了这些情况及其规避方法:
注:LDAP 参考实施作为参考实施发布,并且描述了集成的工作机制以及验证集成所需的所有组件。它不是生产级 LDAP 解决方案。举例来说,示例登录页面中使用的用户名和密码没有加密,安全通知会提示这一点。
规避情况 1:命令行参数用于配置 Python 守护进程
配置 LDAP 参考实施的主要方法是使用若干proxy_set_header
指令(示例配置和文档进行了详细介绍)。不过,配置参数也可以在初始化 Python 守护进程(nginx-ldap-auth-daemon.py) 的命令行上设置。
如果在命令行上设置配置参数,攻击者便可以通过发送精心设计的 HTTP 请求标头覆盖其中部分或所有参数。为了防止这种情况发生,需在 NGINX 配置(Repo 中的nginx-ldap-auth.conf)中为location = /auth-proxy
块添加以下配置,以确保在身份验证时忽略所有无关的请求标头。
location = /auth-proxy {
# ...
proxy_pass_request_headers off;
proxy_set_header Authorization $http_authorization; # If using Basic auth
# ...
}
规避情况2:未使用的可选配置参数
如情况 1 中所述,攻击者可以通过发送精心设计的 HTTP 请求标头来覆盖某些配置参数(如果未在配置中设置)。举例来说,如果未在配置中明确设置 LDAP 搜索模板,则攻击者可能会将其覆盖。情况 2 的解决方法和情况 1 一样,即在 NGINX 配置中为location``=``/auth-proxy
块添加以下配置。
location = /auth-proxy {
# ...
proxy_pass_request_headers off;
proxy_set_header Authorization $http_authorization; # If using Basic auth
# ...
}
规避情况3:需要 LDAP 组的成员身份
Python 守护进程不会检查其输入。因此,攻击者可以使用专门制作的请求标头绕过组成员身份 (memberOf
) 检查,即使被认证的用户不属于所需的组,也可以强制 LDAP 身份验证成功。
为了防范这种情况,务必确保显示登录表单的后端守护进程从用户名字段中删除任何特殊字符,尤其是必须删除左右括号(( )
)和等号(=
),这两种字符在 LDAP 服务器中具有特殊含义。LDAP 参考实施中的后端守护进程将在适当的时候以这种方式更新。
致谢
感谢 Lucas Verney、valodzka 和 @_Blue_hornet 向我们指出了这些安全漏洞。
更多资源
想要更及时全面地获取 NGINX 相关的技术干货、互动问答、系列课程、活动资源?
请前往 NGINX 开源社区:
- 选择合适的 API 网关模式,实现有效的 API 交付
- 分享实录|NGINX Gateway API(下)
- 分享实录|NGINX Gateway API(上)
- 如何在 NGINX 中安全地分发 SSL 私钥
- 课程实录 | 从 0 搭建高可用 Wordpress 博客(上)
- 实现 10 倍应用性能提升的 10 个技巧
- 将 NGINX 部署为 API 网关,第 1 部分
- 避免 10 大 NGINX 配置错误(下)
- 如何应对突发的流量激增和服务器过载问题
- 解决 NGINX LDAP 参考实施中的安全问题
- 收藏!0基础开源数据可视化平台FlyFish大屏开发指南
- 使用 NGINX 作为对象存储网关
- 借助 TCP 负载均衡和 Galera 集群扩展 MySQL
- 一张小图看尽 Nginx
- 在 Kubernetes 中实施零信任的七条准则
- API 网关 vs. Ingress Controller vs. Service Mesh,该怎么选?
- NGINX QUIC 和 HTTP/3 开发路线图
- NGINX Ingress Controller 2.0 版:那些你不得不知道的事儿
- 一把王者的时间,我就学会了 Nginx!
- NGINX 登顶全球 Web 服务器榜单,未来前景更为乐观