Nginx یک وب سرور است که به عنوان یک پروکسی معکوس (reverse proxy)، متعادل کننده بار (load balancer)، پروکسی ایمیل (mail proxy) و HTTP cache نیز به کار میرود. این نرم افزار منبع باز (open source) در سال 2004 به صورت عمومی منتشر شد.
اخیرا، توسعه دهندگان پروژه وب سرور NGINX دست به انتشار روشهایی برای کاهش خطر آسیبپذیریهای امنیتی پروتکل LDAP یا Lightweight Directory Access Protocol و کاربردهای آن زدهاند.
به گفته کارشناسان شرکت F5 Networks که در قالب یک گزارش و در تاریخ 10 آوریل منتشر شد، برنامههای منبع باز NGINX و NGINX Plus به خودی خود تحت تاثیر این آسیبپذیری نیستند و در صورتی که از پیادهسازی مرجع استفاده نمیشود، هیچ خطری شبکه را تهدید نخواهد کرد.
پیادهسازی مرجع که از پروتکل LDAP برای احراز هویت کاربران استفاده میکند، تنها در سه حالت زیر تحت تاثیر این نقص امنیتی خواهد بود:
-
استفاده از پارامترهای خط فرمان برای پیکربندی daemon در پیادهسازی مرجع مبتنی بر زبان پایتون
-
وجود پارامترهای پیکربندی انتخابی و بدون استفاده
-
عضویت در گروه خاص برای انجام احراز هویت LDAP
در هر یک از این شرایط، مهاجم میتواند به طور بالقوه پارامترهای پیکربندی را با ارسال هدرهای درخواست سفارشی HTTP لغو کند و یا حتی وقتی که کاربر به اشتباه احراز هویت شده باشد و به یک گروه خاص نیز تعلق نداشته باشد، از احراز هویت مورد نیاز LDAP برای عضویت در گروهها نیز عبور کند.
راهکار مقابله و کاهش خطرات
برای مقابله با این موضوع، توسعه دهندگان این پروژه به کاربران توصیه میکنند که کاراکترهای خاص را از قسمت نام کاربری که در روند احراز هویت ارائه میشود حذف کنند و پارامترهای مناسب پیکربندی را با مقدار خالی (“”) به روز کنند.
