Les mainteneurs du projet de serveur Web NGINX ont publi\u00e9 des mesures d’att\u00e9nuation pour rem\u00e9dier aux faiblesses de s\u00e9curit\u00e9 de son protocole d’acc\u00e8s \u00e0 l’annuaire l\u00e9ger (LDAP<\/a>) Impl\u00e9mentation de r\u00e9f\u00e9rence.<\/p>\n “NGINX Open Source et NGINX Plus ne sont pas eux-m\u00eames concern\u00e9s, et aucune action corrective n’est n\u00e9cessaire si vous n’utilisez pas l’impl\u00e9mentation de r\u00e9f\u00e9rence”, Liam Crilly et Timo Stark de F5 Networks mentionn\u00e9<\/a> dans un avis publi\u00e9 lundi.<\/p>\n NGINX a d\u00e9clar\u00e9 que le impl\u00e9mentation de r\u00e9f\u00e9rence<\/a>qui utilise LDAP pour authentifier les utilisateurs<\/a>n’est impact\u00e9 que sous trois conditions si les d\u00e9ploiements impliquent –<\/p>\n Si l’une des conditions susmentionn\u00e9es est remplie, un attaquant pourrait potentiellement remplacer les param\u00e8tres de configuration en envoyant des en-t\u00eates de requ\u00eate HTTP sp\u00e9cialement con\u00e7us et m\u00eame contourner les exigences d’appartenance au groupe pour forcer l’authentification LDAP \u00e0 r\u00e9ussir m\u00eame lorsque l’utilisateur faussement authentifi\u00e9 n’appartient pas au groupe.<\/p>\n Comme contre-mesures, les responsables du projet ont recommand\u00e9 aux utilisateurs de s’assurer que les caract\u00e8res sp\u00e9ciaux sont supprim\u00e9s du champ du nom d’utilisateur dans le formulaire de connexion pr\u00e9sent\u00e9 lors de l’authentification et de mettre \u00e0 jour les param\u00e8tres de configuration appropri\u00e9s avec une valeur vide (“”).<\/p>\n Les mainteneurs ont \u00e9galement soulign\u00e9 que l’impl\u00e9mentation de r\u00e9f\u00e9rence LDAP \u00ab\u00a0d\u00e9crit principalement les m\u00e9canismes de fonctionnement de l’int\u00e9gration et tous les composants n\u00e9cessaires pour v\u00e9rifier l’int\u00e9gration\u00a0\u00bb et qu’\u00ab\u00a0il ne s’agit pas d’une solution LDAP de niveau production\u00a0\u00bb.<\/p>\n La r\u00e9v\u00e9lation vient apr\u00e8s des d\u00e9tails<\/a> du probl\u00e8me est apparu dans le domaine public au cours du week-end lorsqu’un groupe hacktiviste appel\u00e9 BlueHornet mentionn\u00e9<\/a> il avait “mis la main sur un exploit exp\u00e9rimental pour NGINX 1.18”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Alertes-CISA-sur-les-failles-activement-exploitees-dans-la-plate-forme.png\")
<\/a><\/div>\n\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1649791371_906_NGINX-partage-des-mesures-dattenuation-pour-le-bogue-Zero-Day-affectant.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n