热门开源代理 HAProxy 修复HTTP请求伪造漏洞
热门开源代理 HAProxy 修复HTTP请求伪造漏洞
Ben Dickson 代码卫士 2023-02-21 17:55
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
热门的开源负载均衡器和反向代理 HAProxy 修复了一个漏洞,可导致攻击者发动HTTP请求走私攻击。攻击者可发送恶意构造的HTTP请求,绕过HAProxy的过滤器并获得对后端服务器的越权访问权限。
01
被释放的标头
HAProxy 的维护人员Willy Tarreau 指出,“正确构造的HTTP 请求可导致HAProxy 在解析至少是部分处理后释放某些重要的标头字段如 Connection、Content-length、Transfer-Encoding、Host等。”如此可使HAProxy 感到困惑并强制它在无需应用过滤器的情况下将请求发送到后端服务器。
例如,攻击者可绕过HAProxy 对某些URL进行认证检查或使攻击者访问受限资源。该漏洞利用并不难,不过具体影响取决于目标web 服务器以及它对HAProxy过滤器保护资源的依赖程度。Tarreau 指出,“它只要求对HTTP协议的知识以及走私攻击的运作方式有一些了解即可。一般的HTTP猎洞人员会立即了解如何利用该漏洞并将只需要两三次测试,就能证实自己的假设是否正确,这也是为何无需包含太多详情的原因所在。”
02
自2019年就存在
该漏洞是由西北大学、Akamai技术公司和谷歌运行测试并报告的。
Tarreau 表示该漏洞自HAProxy 2.0版本时就存在,而该版本于2019年6月发布。Tarreau 表示,“任何支持客户端上的HTTP/1和支持服务器上的HTTP/1的配置都易受攻击,除非它在已修复版本上运行或者包含我所提出的应变措施。因此基本被暴露的部署是百分之百的。”
在基础设施更深处部署的实例如API网关并不受影响,因为不存在生成此类不合法请求的应用程序或前端代理。Tarreau 一直在积极维护HAProxy的7个版本并为它们发布修复方案。
他指出,“负载均衡器是基础设施中的关键组件,一般来说用户不希望进行升级,除非真的是有必要或者需要新特性。因此我们五年来对每个稳定版本都进行着维护,这样用户能够在必要时验证升级。”
03
应变措施
如果用户无法立即升级至最新版本,则可使用Tarreau 提供的临时的基于配置的应变措施,通过检测利用该漏洞引起的内部条件来阻止攻击。
如果用户正在运行老旧的HAProxy 版本,Tarreau 提醒称,“最佳的临时选择就是立即升级至下一个分支,该分支的变动最小。请不要试图升级过时版本。如果你在五年内都没有考虑更新,那么任何人都不会考虑帮你追赶。”
该漏洞并非影响HAProxy的首个严重的HTTP请求走私漏洞,2021年9月该平台就被之存在类似问题。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
开源的代理服务器HAProxy 易遭严重的 HTTP 请求走私攻击
热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击
原文链接
https://portswigger.net/daily-swig/http-request-smuggling-bug-patched-in-haproxy
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~