Brukere av HAProxy 2.0 og senere versjoner blir oppfordret til å presse gjennom oppdateringer etter at det ble funnet et sikkerhetsproblem som kunne tillate “en angriper å omgå sjekken for en duplisert HTTP Content-Length-overskrift, slik at en be om smuglerangrep eller et reaksjonsdelende angrep. “
“Vår analyse bekreftet at dupliseringen oppnås ved å bruke minneoppsettet til HAProxys interne representasjon av en HTTP -melding for å glide et valgt tegn fra overskriftens navn til dets verdi,” forklarte HAProxy i en blogg.
“På grunn av vanskeligheten med å utføre et slikt angrep er risikoen lav.”
HAProxy ga en liste over berørte versjoner og faste versjoner, samtidig som den gir en løsning for de som ikke kan oppdatere med en gang. .
Sårbarheten ble kunngjort tidligere denne uken av forskere med JFrog, som ga ut en rapport om problemet.
JFrog-forskere Ori Hollander og Or Peles skrev at CVE-2021-40346 er et sårbarhet over heltall som overløper som gjør det mulig å utføre et HTTP Request Smuggling-angrep, og forklarer at det har en CVSSv3-score på 8,6.
“Dette angrepet lar en motstander” smugle “HTTP -forespørsler til backend -serveren, uten at proxy -serveren er klar over det,” sa forskerne og berømmet HAProxy CTO Willy Tarreau og deres sikkerhetsteam for “umiddelbart og håndterer dette problemet profesjonelt. “
Tarreau ga ut sitt eget notat om saken, og takket JFrog for arbeidet deres.
“Helt ærlig har de gjort en utmerket jobb med å oppdage dette fordi det ikke er hver dag du klarer å slå en enkelt bit flyte over til en ekstra forespørsel, og fant ut at dette var nødvendig for å grave dypt ned i lagene, “sa Tarreau.
Vulcan Cyber-sjef Yaniv Bar-Dayan sa at HAProxy-lastbalanseringsprogramvaren er “en av de mest brukte komponentene i vår digitale tidsalder, og kaller det” VVS som brukes til å bygge infrastrukturen bak nettet. ” Bar-Dayan forklarte at det distribueres med Linux-operativsystemer og av skytjenesteleverandører, og brukes i produksjon av noen av de største webtjenestene og applikasjonene i verden.
“Dette sårbarheten har potensial til å ha en utbredt innvirkning, men heldigvis er det mange måter å redusere risikoen ved dette HAProxy-sårbarheten, og mange brukere har sannsynligvis allerede tatt de nødvendige tiltakene for å beskytte seg selv, sier Bar-Dayan til ZDNet.
“CVE-2021-40346 dempes hvis HAProxy har blitt oppdatert til en av de siste fire versjonene av programvaren. Som med de fleste sårbarheter, kan CVE-2021-40346 ikke utnyttes uten alvorlig bruker uaktsomhet. HAProxy-teamet har vært ansvarlig i sin håndtering av feilen. Mest sannsynlig har de institusjonelle nettskyene og applikasjonstjenestene som bruker HAProxy i stakken sin enten brukt oppgraderinger eller gjort de nødvendige konfigurasjonsendringene nå. Nå er det opp til alle HAProxy -brukere å kjøre et effektivt sårbarhetsprogram for beskytte virksomheten deres mot denne veldig reelle trusselen. “
Michael Isbitski, teknisk evangelist i Salt Security, la til at HAProxy er en flerbruks, programvarebasert infrastrukturkomponent som kan oppfylle en rekke nettverksfunksjoner, inkludert belastning balanser, leveringskontroller, SSL/TLS -avslutning, webserver, proxy -server og API -formidler.
“Det er et populært gratis open source -valg sammen med F5 NGINX. HAProxy -distribusjoner er fremtredende i mange organisasjonsnettverk og det kollektive Internett,” sa Isbitski.
“Avhengig av hvordan en gitt HAProxy -forekomst distribueres, inkluderer potensielle risikoer kapring av brukersessioner, omgåelse av autorisasjon, eksponering av sensitiv data, uautorisert utførelse av kommandoer og uautorisert dataendring.”
Andre eksperter, som visepresident for NTT Application Security, Setu Kulkarni, bemerket at HAProxy har over 500 millioner nedlastinger fra dockerhub og for en motstander, og målrettet mot slike mye brukte kritiske komponenter som er åpen kildekode er et lukrativt alternativ, sa Kulkarni.
“Med tilgang til kode kan de nå stort sett kjøre statiske applikasjonssikkerhetstester for å avdekke svakheter, og når de har funnet en potensiell sårbarhet å utnytte, kan de utføre store angrep. Når det gjelder HAProxy, er nøkkelen å oppgradere til den siste versjonen av programvarepakken der sårbarheten er løst – byrden for denne oppgaven må deles likt av DevOps, SecOps og RunOps -team for å sikre at systemet fortsetter å være operativt som en kritisk komponent ettersom HAProxy oppgraderes , “Sa Kulkarni.
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Cloud Security TV Datahåndtering CXO datasentre 