2022年4月9日,NGINX LDAP 参考实现中的安全漏洞被公开分享。我们已经确定只有参考实现受到影响。
NGINX Open Source 和 NGINX Plus 本身不受影响,如果您不使用参考实现,则无需采取任何纠正措施。
NGINX LDAP参考实现使用轻量级目录访问协议(LDAP)来验证被NGINX代理的应用程序的用户。它作为一个Python守护程序和相关的NGINX配置发布在https://github.com/nginxinc/nginx-ldap-auth,其目的和配置在我们的博客上有详细描述。
如果以下任何条件适用,LDAP参考实现的部署会受到漏洞的影响。
- 命令行参数被用来配置Python守护程序
- 有未使用的、可选的配置参数
- LDAP 认证依赖于特定的组成员资格
详细点击标题