BLOG | NGINX

解决 NGINX LDAP 参考实施中的安全问题

NGINX-Part-of-F5-horiz-black-type-RGB
Owen Garrett 缩略图
Owen Garrett
Published September 14, 2020

2022 年 4 月 9 日,NGINX LDAP 参考实施中曝出了多个安全漏洞。经确认,只有参考实施受到了影响。NGINX 开源版和 NGINX Plus 本身未受影响,如果您不使用参考实施,则无需采取纠正措施。

NGINX LDAP 参考实施使用轻型目录访问协议 (LDAP) 来验证由 NGINX 代理的应用的用户。它作为 Python 守护进程(daemon)发布,相关 NGINX 配置位于 https://github.com/nginxinc/nginx-ldap-auth我们的博文对其目的和配置进行了详细描述。

如果出现以下任何一种情况,LDAP 参考实施的部署都会受到漏洞的影响。下文详细讨论了这些情况及其规避方法:

  1. 命令行参数用于配置 Python 守护进程
  2. 有未使用的可选配置参数
  3. LDAP 身份验证取决于特定的组的成员身份

注:LDAP 参考实施作为参考实施发布,并且描述了集成的工作机制以及验证集成所需的所有组件。它不是生产级 LDAP 解决方案。举例来说,示例登录页面中使用的用户名和密码没有加密,安全通知会提示这一点。

规避情况 1:命令行参数用于配置 Python 守护进程

配置 LDAP 参考实施的主要方法是使用若干 proxy_set_header 指令(示例配置文档进行了详细介绍)。不过,配置参数也可以在初始化 Python 守护进程(nginx-ldap-auth-daemon.py) 的命令行上设置。

如果在命令行上设置配置参数,攻击者便可以通过发送精心设计的 HTTP 请求标头覆盖其中部分或所有参数。为了防止这种情况发生,需在 NGINX 配置(Repo 中的 nginx-ldap-auth.conf)中为 location = /auth-proxy 块添加以下配置,以确保在身份验证时忽略所有无关的请求标头。

location = /auth-proxy {    # ...
    proxy_pass_request_headers off;
    proxy_set_header Authorization $http_authorization; # If using Basic auth
    # ...
}

规避情况 2:未使用的可选配置参数

如情况 1 中所述,攻击者可以通过发送精心设计的 HTTP 请求标头来覆盖某些配置参数(如果未在配置中设置)。举例来说,如果未在配置中明确设置 LDAP 搜索模板,则攻击者可能会将其覆盖。情况 2 的解决方法和情况 1 一样,即在 NGINX 配置中为 location = /auth-proxy 块添加以下配置。

location = /auth-proxy {    # ...
    proxy_pass_request_headers off;
    proxy_set_header Authorization $http_authorization; # If using Basic auth
    # ...
}

规避情况 3:需要 LDAP 组的成员身份

Python 守护进程不会检查其输入。因此,攻击者可以使用专门制作的请求标头绕过组成员身份 (memberOf) 检查,即使被认证的用户不属于所需的组,也可以强制 LDAP 身份验证成功。

为了防范这种情况,务必确保显示登录表单的后端守护进程从用户名字段中删除任何特殊字符,尤其是必须删除左右括号( ( ))和等号(=),这两种字符在 LDAP 服务器中具有特殊含义。LDAP 参考实施中的后端守护进程将在适当的时候以这种方式更新。

致谢

感谢 Lucas Verney、valodzka 和 @_Blue_hornet 向我们指出了这些安全漏洞。


"This blog post may reference products that are no longer available and/or no longer supported. For the most current information about available F5 NGINX products and solutions, explore our NGINX product family. NGINX is now part of F5. All previous NGINX.com links will redirect to similar NGINX content on F5.com."