authentik — это поставщик удостоверений с открытым исходным кодом. В версиях, предшествующих 2023.4.3 и 2023.5.5, authentik не проверяет ис…

authentik — это поставщик удостоверений с открытым исходным кодом. В версиях, предшествующих 2023.4.3 и 2023.5.5, authentik не проверяет источник заголовков X-Forwarded-For и X-Real-IP, как в коде Python, так и в коде go. Этому подвержены только те установки authentik, которые напрямую доступны пользователям без обратного прокси-сервера. Возможна подмена IP-адресов в журналах, нижестоящих приложениях, проксированных (встроенным) форпостом, обход IP в пользовательских потоках, если они используются. Это представляет возможный риск безопасности, когда кто-то имеет потоки или политики, проверяющие IP-адрес пользователя, например, когда они хотят игнорировать двухфакторную аутентификацию пользователя, когда пользователь подключен к сети компании. Второй риск безопасности заключается в том, что IP-адреса в файлах журналов и пользовательских сессиях больше не являются надежными. Кто угодно может подделать этот адрес, и нельзя проверить, вошел ли пользователь с IP-адреса, указанного в журнале его учетной записи. Третий риск заключается в том, что этот заголовок передается в прокси-приложение за форпостом. Приложение может выполнять любую проверку, ведение журнала, блокировку или ограничение скорости на основе IP-адреса, и этот IP-адрес может быть переопределен любым, кто захочет это сделать. Версии 2023.4.3 и 2023.5.5 содержат исправление этой проблемы.