Уязвимость BDU:2022-02111

Дата: 09.04.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-02111.

Наименование уязвимости: Уязвимость реализации демона LDAP-auth HTTP-сервера nginx, позволяющая нарушителю выполнить произвольный код в уязвимой системе.

Описание уязвимости: Уязвимость реализации демона LDAP-auth HTTP-сервера nginx связана с ошибками в коде. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в уязвимой системе
Уязвимое ПО: Сетевое программное средство NGINX Inc. nginx 18.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 09.04.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Компенсирующие меры:
— использование межсетевых экранов прикладного уровня в режиме блокирования;
— использование альтернативных средств аутентификации;
— добавить следующий блок в файле конфигурации nginx-ldap-auth.conf:

location = /auth-proxy {

proxy_pass_request_headers off;
proxy_set_header Authorization $http_authorization;

};

— проверка и удаление демоном LDAP-auth всех специальных символов из поля имени пользователя.
— отключение свойства ldapDaemon.enabled.

Применение приведенных компенсирующих мер рекомендуется осуществлять только после оценки их влияния на функционирование системы.

Использование рекомендаций производителя:
https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/?utm_medium=owned-social&utm_source=twitter&utm_campaign=ww-nx_sec_g&utm_content=bg-
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости:

Тип ошибки CWE: CWE-17, CWE-287
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://twitter.com/Gi7w0rm/status/1512789855197093891
https://github.com/AgainstTheWest/NginxDay
https://securityonline.info/nginx-zero-day-rce-vulnerability-alert/
https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/?utm_medium=owned-social&utm_source=twitter&utm_campaign=ww-nx_sec_g&utm_content=bg-

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.