流行的开源负载平衡器和反向代理HAProxy修补了一个漏洞,该漏洞可能使攻击者能够进行HTTP请求走私攻击。通过发送恶意制作的HTTP请求,攻击者可以绕过HAProxy的过滤器并获得对后端服务器的未授权访问。
根据HAProxy维护者Willy Tarreau的通知,“精心设计的HTTP请求可以使HAProxy在解析并至少部分处理后丢弃一些重要的标头字段,例如连接、内容长度、传输编码、主机等他们”。
这可能会混淆HAProxy并强制它在不应用过滤器的情况下将请求发送到后端服务器。
例如,它可用于绕过HAProxy对某些URL的身份验证检查或让攻击者访问受限资源。该漏洞并不难利用,但其影响取决于目标Web服务器以及它在多大程度上依赖HAProxy过滤器来保护其资源。
“它只需要对HTTP协议以及走私攻击的工作原理有一定的了解,”Tarreau说。
“我知道通常的HTTP漏洞搜索者会立即了解如何利用它,只需要两到三个测试来证实他们的假设,这就是为什么真的不需要[include]更多细节。”
该漏洞是由东北大学、Akamai Technologies和谷歌的一组研究人员报告的,他们正在运行测试。
Tarreau表示,该漏洞自2019年6月发布的HAProxy 2.0版本以来就存在。
“任何支持客户端HTTP/1和服务器端HTTP/1的配置都容易受到攻击,除非它运行在固定版本上或者它包含我提出的解决方法,”Tarreau说。“所以这相当接近100%的暴露部署。”
部署在基础设施更深处的实例(例如API网关)没有风险,因为没有应用程序或前端代理会产生此类无效请求。
Tarreau正在积极维护HAProxy的七个版本,并为所有版本发布了修复程序。
“负载均衡器是基础设施中的关键组件,通常用户不想升级它,除非绝对必要或他们需要新功能,”Tarreau说。
“因此,我们将每个稳定版本维护五年,以便他们有足够的时间来验证新版本并在需要时进行升级。”
对于那些不能立即升级到最新版本的人,Tarreau提供了一个基于配置的临时解决方法,通过检测漏洞利用引起的内部条件来阻止攻击。
对于那些运行旧版本HAProxy的人,Tarreau的通知警告说:“如果你运行的是过时的版本......最好的短期选择是升级到紧邻的下一个分支,这会给你最少的惊喜或变化。
“请不要寻求帮助从过时的版本升级,如果你不关心五年后的更新,那么任何人都不太可能关心帮助你赶上。”
该漏洞并不是第一个影响HAProxy的严重HTTP请求走私缺陷,JFrog研究人员在2021年9月披露的一个影响该平台的类似问题。
评论已关闭。