Los mantenedores del proyecto de servidor web NGINX han emitido mitigaciones para abordar las debilidades de seguridad en su Protocolo ligero de acceso a directorios (LDAP<\/a>) Implementaci\u00f3n de referencia.<\/p>\n “NGINX Open Source y NGINX Plus no se ven afectados en s\u00ed mismos, y no es necesaria ninguna acci\u00f3n correctiva si no usa la implementaci\u00f3n de referencia”, Liam Crilly y Timo Stark de F5 Networks dicho<\/a> en un aviso publicado el lunes.<\/p>\n NGINX dijo que el Implementaci\u00f3n de referencia<\/a>cual utiliza LDAP para autenticar a los usuarios<\/a>se ve afectado solo bajo tres condiciones si los despliegues implican:<\/p>\n Si se cumple alguna de las condiciones antes mencionadas, un atacante podr\u00eda potencialmente anular los par\u00e1metros de configuraci\u00f3n mediante el env\u00edo de encabezados de solicitud HTTP especialmente dise\u00f1ados e incluso eludir los requisitos de membres\u00eda del grupo para obligar a la autenticaci\u00f3n LDAP a tener \u00e9xito incluso cuando el usuario autenticado falsamente no pertenece al grupo.<\/p>\n Como contramedidas, los mantenedores del proyecto han recomendado a los usuarios que se aseguren de que los caracteres especiales se eliminen del campo de nombre de usuario en el formulario de inicio de sesi\u00f3n presentado durante la autenticaci\u00f3n y actualicen los par\u00e1metros de configuraci\u00f3n apropiados con un valor vac\u00edo (“”).<\/p>\n Los mantenedores tambi\u00e9n enfatizaron que la implementaci\u00f3n de referencia de LDAP principalmente “describe la mec\u00e1nica de c\u00f3mo funciona la integraci\u00f3n y todos los componentes necesarios para verificar la integraci\u00f3n” y que “no es una soluci\u00f3n LDAP de grado de producci\u00f3n”.<\/p>\n La revelaci\u00f3n viene despu\u00e9s detalles<\/a> del problema sali\u00f3 a la luz p\u00fablica durante el fin de semana cuando un grupo hacktivista llamado BlueHornet dicho<\/a> hab\u00eda “tenido en nuestras manos un exploit experimental para NGINX 1.18”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Alertas-de-CISA-sobre-fallas-explotadas-activamente-en-la-plataforma.png\")
<\/a><\/div>\n\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1649790158_733_NGINX-comparte-mitigaciones-para-errores-de-dia-cero-que-afectan.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n