Användare av HAProxy 2.0 och tidigare versioner uppmanas att driva igenom uppdateringar efter att en sårbarhet har upptäckts som kan göra att “en angripare kan kringgå kontrollen av en kopia av HTTP-innehållslängd, vilket tillåter en begära smugglingsangrepp eller en reaktionsdelande attack. “
“Vår analys bekräftade att dupliceringen uppnås genom att använda minneslayouten för HAProxys interna representation av ett HTTP -meddelande för att glida ett valt tecken från rubrikens namn till dess värde”, förklarade HAProxy i en blogg.
“På grund av svårigheten att utföra en sådan attack är risken låg.”
HAProxy tillhandahåller en lista över berörda versioner och fasta versioner samtidigt som den ger en lösning för dem som inte kan uppdatera direkt .
Sårbarheten tillkännagavs tidigare i veckan av forskare med JFrog, som släppte en rapport om problemet.
JFrog-forskarna Ori Hollander och Or Peles skrev att CVE-2021-40346 är en sårbarhet med heltal överflöde som gör det möjligt att genomföra en HTTP Request Smuggling-attack och förklarar att den har en CVSSv3-poäng på 8,6.
“Denna attack gör det möjligt för en motståndare att” smuggla “HTTP -förfrågningar till backend -servern, utan att proxyservern är medveten om det, säger forskarna och berömmer HAProxy CTO Willy Tarreau och deras säkerhetsteam för” omedelbart ” och hanterar detta problem professionellt. “
Tarreau släppte sin egen anteckning om frågan och tackade JFrog för deras arbete.
“Helt ärligt har de gjort ett utmärkt jobb med att upptäcka den här eftersom det inte är varje dag du lyckas vända en enda bit överflöd till en extra begäran, och tänkte att detta krävdes för att gräva djupt i lagren, säger Tarreau.
Vulcan Cyber VD Yaniv Bar-Dayan sa att HAProxy-lastbalanseringsprogrammet är “en av de mest använda komponenterna i vår digitala tidsålder” och kallar det “VVS som används för att bygga infrastrukturen bakom webben.” Bar-Dayan förklarade att det distribueras med Linux-operativsystem och av molntjänstleverantörer och används i produktion av några av de största webbtjänsterna och applikationerna i världen.
“Denna sårbarhet har potential att ha en vidsträckt inverkan, men lyckligtvis finns det många sätt att minska risken med denna HAProxy-sårbarhet, och många användare har troligen redan vidtagit nödvändiga åtgärder för att skydda själva, säger Bar-Dayan till ZDNet.
“CVE-2021-40346 mildras om HAProxy har uppdaterats till en av de senaste fyra versionerna av programvaran. Liksom med de flesta sårbarheter kan CVE-2021-40346 inte utnyttjas utan allvarlig vårdslöshet. HAProxy-teamet har ansvarat i sin hantering av felet. Troligtvis har de institutionella moln- och applikationstjänsterna som använder HAProxy i sin stack antingen tillämpat uppgraderingar eller gjort de nödvändiga konfigurationsändringarna nu. Nu är det upp till alla HAProxy -användare att köra ett effektivt sårbarhetsprogram för att skydda sina företag från detta mycket verkliga hot. “
Michael Isbitski, teknisk evangelist på Salt Security, tillade att HAProxy är en mångsidig, mjukvarubaserad infrastrukturkomponent som kan uppfylla ett antal nätverksfunktioner inklusive belastning utjämnare, leveransstyrenhet, SSL/TLS -avslutning, webbserver, proxyserver och API -medlare.
“Det är ett populärt gratis val av öppen källkod tillsammans med F5 NGINX. HAProxy -distributioner är framträdande i många organisatoriska nätverk och det kollektiva Internet”, säger Isbitski.
“Beroende på hur en given HAProxy -instans distribueras kan potentiella risker innefatta kapning av användarsessioner, förbikoppling av auktoritet, exponering av känslig data, obehörig kommandokörning och obehörig datamodifiering.”
Andra experter, som NTT Application Security, vice ordförande Setu Kulkarni, noterade att HAProxy har över 500 miljoner nedladdningar från dockerhub och för en motståndare, och riktar in sig på sådana mycket använda kritiska komponenter som är öppen källkod är ett lukrativt alternativ, sade Kulkarni.
“Med tillgång till kod kan de nu i stort sett köra statiska applikationssäkerhetstester för att fastställa svagheter och när de väl har hittat en potentiell sårbarhet att utnyttja kan de utföra storskaliga attacker. För HAProxy är nyckeln att uppgradera till den senaste versionen av programvarupaketet där sårbarheten har åtgärdats – bördan för denna uppgift måste delas lika av DevOps, SecOps och RunOps -team för att säkerställa att systemet fortsätter att fungera som en kritisk komponent när HAProxy uppgraderas “, Sa Kulkarni.
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker som blir värre? (ZDNet YouTube)
Relaterade ämnen:
Cloud Security TV Datahantering CXO -datacenter 