?本文介紹Nginx 0day LDAP RCE漏洞影響范圍并解釋NGINX LDAP參考實(shí)現(xiàn)

????????nginx官方公告：2022年4月9日，NGINX LDAP參考實(shí)現(xiàn)中的安全漏洞公開(kāi)共享。我們已確定只有參考實(shí)現(xiàn)會(huì)受到影響。NGINX開(kāi)源和NGINX Plus本身不受影響，如果您不使用參考實(shí)現(xiàn)，則無(wú)需采取任何糾正措施。
?? ?參考：https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/

?? ?NGINX LDAP參考實(shí)現(xiàn)：利用NGINX中的ngx_http_auth_request_module模塊，將身份驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到外部服務(wù)。在參考實(shí)現(xiàn)中，該服務(wù)是我們稱(chēng)之為 ldap-auth 的守護(hù)進(jìn)程。它是用Python編寫(xiě)的，并與輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP）身份驗(yàn)證服務(wù)器進(jìn)行通信。
?? ?參考：https://www.nginx.com/blog/nginx-plus-authenticate-users/#ldap-auth-configure

?排查過(guò)程：確定是否采用NGINX LDAP參考實(shí)現(xiàn)。nginx是否使用http_auth_request_module模塊。

總結(jié)

以上是生活随笔為你收集整理的Nginx 0day LDAP RCE 漏洞情报分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。