Уязвимость HTTP-запроса на контрабанду (CWE-444) была обнаружена в анализе запросов Pingora HTTP/1.0 и Transfer-Encoding. Проблема возникае…
Уязвимость HTTP-запроса на контрабанду (CWE-444) была обнаружена в анализе запросов Pingora HTTP/1.0 и Transfer-Encoding. Проблема возникает из-за неправильного разрешения органам запроса HTTP/1.0 быть ограниченными и неправильной обработкой нескольких значений кодирования передачи, что позволяет злоумышленникам отправлять запросы HTTP/1.0 таким образом, чтобы удалить формулировку запроса Pingora с бэкэнд-серверов. Влияние Эта уязвимость в первую очередь затрагивает автономные развертывания Pingora перед определенными бэкэндами, которые принимают запросы HTTP/1.0. Злоумышленник может создать вредоносную полезную нагрузку после этого запроса, который Pingora перенаправляет на бэкэнд, чтобы: * Обход прокси-уровня ACL и логика WAF * Ядовитые кэши и соединения вверх по течению, в результате чего последующие запросы от законных пользователей получают ответы, предназначенные для контрабандных запросов * Выполнять кросс-пользовательские атаки путем угона или запросов на контрабанду, которые, по-видимому, исходят из доверенного прокси-IP Инфраструктура CDN Cloudflare не была затронута этой уязвимостью, поскольку ее уровни прокси-спроса перенаправляли только HTTP/1.1, отклоняли неоднозначные обрамления, такие как недействительные значения длины контента, и перенаправляли один кодирование Transfer-Encoding: chunked header для кусковых запросов. Смягчение последствий: Пользователи Pingora должны перейти на Pingora v0.8.0 или выше, что устраняет эту проблему, правильно анализируя заголовки длины сообщений в соответствии с RFC 9112 и строго придерживаясь более правил RFC, в том числе, что органы запроса HTTP никогда не бывают закрытыми. В качестве обходного действия пользователи могут отклонять определенные запросы с ошибкой в логике фильтра запроса, чтобы остановить обработку байтов на подключении и отключить повторное использование соединения вниз по течению. Пользователь должен отклонить любой запрос, не относившихся к HTTP/1.1, или запрос, который имеет недействительный Контент-Длинность, несколько заголовков, кодировку передачи или заголовок, не являющуюся точным «сжатым» строочным соответствием.
Продукт выступает в роли промежуточного HTTP-агента (например, прокси-сервера или межсетевого экрана) в потоке данных между двумя объектами — клиентом и сервером, — однако интерпретирует некорректно сформированные HTTP-запросы или ответы иначе, чем конечные получатели этих сообщений.
https://cwe.mitre.org/data/definitions/444.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/33.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/273.html →Открыть в коллекции CAPEC →